Spring一些常见配置导致的漏洞

本文所有的demo均放在了github上:
https://github.com/ax1sX/SpringSecurity

SpringConfigTest文件夹为常见配置导致的漏洞demo集合,可下载测试

1. OXM配置

Spring OXM支持Java对象和XML之间映射。Spring OXM并不直接处理XML,而是不同解决方案(如 JAXB、Castor 或 XStream等)的包装器。

JAXB包装器(Jaxb1MarshallerJaxb2Marshaller)、Castor包装器(CastorMarshaller)容易受到XXE攻击。而XStream包装器( XStreamMarshaller)由于不处理DOCTYPE声明块,所以不容易受到XXE攻击,但是可能造成RCE。

JAXB包装器绑定示例——XXE


        
            
                org.example.jaxb.Order
            
        

这类配置造成的XXE漏洞,对应的漏洞编号为CVE-2013-4152。发现者的博客:http://www.pwntester.com/blog/2013/08/23/springmvc-vulnerable-to-xxe/

XStream包装器绑定示例——XStream RCE


    
    



    
        
            org.pwntester.springserver.ContactImpl
        
    

发现者博客:http://www.pwntester.com/blog/2013/12/24/more-on-xstream-rce-springmvc-ws/

这里用到了一个类MarshallingHttpMessageConverter,它是HttpMessageConverter接口的实现类之一。这个消息转换接口的应用之一是@ResponseBody

一个带有@ResponseBody的路由处理方法如下。Spring MVC首先会根据方法参数@RequestBody后的类型选取HttpMessageConverter接口的实现类,以下面的String类型为例,会调用接口实现类StringHttpMessageConverter。然后读取请求中的参数绑定到String类型的变量message中,并执行receive方法。方法执行完成后,由于@ResponseBody注解,将返回值写入到响应报文中。

@RequestMapping(value="/string", method=RequestMethod.POST)
@ResponseBody
public String receive(@RequestBody String message) {
    return message;
}

假如方法参数接收的是xml类型数据,并且由XStreamMarshaller转换成Java对象。那么就可以利用XStream反序列化的POC进行RCE攻击。

既然不同类型会有不同的Converters,那么可以在配置中声明要用的Converters。


  
    
    
  

如果没有声明这些Converters,只在配置文件中配置,那么能使用的就是Spring默认的转换器,包括StringHttpMessageConverter、ByteArrayMessageConverter

2. Hibernate-Validator配置

在了解这个配置之前,要先了解一个验证数据的规范——JSR 303(后来发展到了JSR 341、JSR 380)。它是 Java EE 6 中的一项子规范,叫做Bean Validation,官方参考实现是Hibernate-Validator。参考:https://beanvalidation.org/1.0/spec/

Hibernate-Validator所需依赖如下


    org.hibernate
    hibernate-validator
    5.4.1.Final

官方给的一个简单的例子。JSR303自带了一些约束(Constraint),例如@NotNull、@Pattern(value)、@Size等。下面示例,规定了licensePlate不能为空,并且介于 2 到 14 个字符之间。

public class Car {

   @NotNull
   @Size(min = 2, max = 14)
   private String licensePlate;
}

除了这些规定自带的约束,还可以创建自定义约束,例如验证手机号的@IsMobile

public class LoginInfo {

   @NotNull
   @IsMobile
   private String mobile;
}

@IsMobile需要有一个对应的接口类

@Target({ METHOD, FIELD, ANNOTATION_TYPE, CONSTRUCTOR, PARAMETER})
@Retention(RUNTIME)
@Documented
@Constraint(validatedBy = {IsMobileValiadator.class})   // 接口实际功能的实现类
public @interface IsMobile {
    String message() default "手机号码格式错误"; //通过注解后输出的信息,可以自定义
    Class[] groups() default{};
    Class[] payload() default{};
}

接口功能的具体实现类如下。ConstraintValidator是实现约束行为的接口。


public class IsMobileValiadator implements ConstraintValidator { // 注解名和参数类型
 
    public void initialize(IsMobile constraintAnnotation) {
            xxx 
    }
 
    public boolean isValid(String value, ConstraintValidatorContext context) {
            // 实际的校验逻辑
         constraintValidatorContext.buildConstraintViolationWithTemplate(s + defaultConstraintMessageTemplate).addConstraintViolation(); // RCE
    }
}

如果想在@Controller中触发输入的验证,只需要将参数注释为@Valid。如果想要指定@Valid对应的Validator实例,可以在@Controller的@InitBinder回调中定义,如下。或者在配置文件中用命名空间的方式来定义

@Controller
public class MyController {

    @InitBinder
    protected void initBinder(WebDataBinder binder) {
        binder.setValidator(new IsMobileValiadator());
    }

    @RequestMapping("/login", method=RequestMethod.POST)
    public void processInfo(@Valid LoginInfo logininfo) { /* ... */ }
}

自定义约束造成的RCE,发现者博客:https://securitylab.github.com/research/bean-validation-RCE/

需要满足的条件,(1)自定义约束,(2)Controller中绑定了@Valid,对应自定义约束的bean (3)校验逻辑中用到buildConstraintViolationWithTemplate。这样传入的EL表达式会被解析。

后续作者针对Hibernate-Validator配置的修复,也提出了一种绕过方式
https://securitylab.github.com/advisories/GHSL-2020-020-hibernate-validator/

Nexus Repository Manager的一些漏洞:CVE-2018-16621、CVE-2020-10693和CVE-2020-10204。也是因为Hibernate-Validator配置造成的。写Controller的时候需要注意:添加ResponseBody可能出现415, 不添加BindingResult可能出现400。

3. Http-Invoker配置

Spring http-Invoker用于远程调用,服务端配置如下

    

    
        
        
    

客户端配置如下

    
        
        
    

服务端的核心在于HttpInvokerServiceExporter,它对应了一个URL路径,一旦访问该路径,就会将请求转换为RemoteInvocation对象,由HttpInvokerServiceExporter对象进行处理,调用指定的方法。将结果封装为RemoteInvocationResult对象并进行序列化。客户端则是要反序列化该对象获取结果。所以存在反序列化漏洞,类似的包括Dubbo的系列漏洞

你可能感兴趣的:(Spring一些常见配置导致的漏洞)