Velocity Parse()函数引发的本地包含漏洞及利用方法
程序员文章站
2022-06-19 11:58:14
Velocity是一个基于java的模板引擎(template engine),它允许任何人仅仅简单的使用模板语言(template language)来引用由java代码定义的对象... 12-07-10...
一 背景及描述
velocity是一个基于java的模板引擎(template engine),它允许任何人仅仅简单的使用模板语言(template language)来引用由java代码定义的对象。我们知道,越是功能强大、函数丰富的渲染层语言(从某种意义上来说,php也可归类为渲染层语言)越会带来一些安全问题。
有人认为,velocity不能像jsp一样编写java代码,是严格的mvc分离,所以相当安全。那么请看看这篇文章吧,相信看完之后你不会继续这么认为:)
二 什么是本地包含漏洞(lfi)
本地包含(lfi)是一项经典的web hacking技术,攻击者目的是将可控的包含恶意代码的文件引入,并以渲染层语言执行。由于语言特性(如include,require函数),此漏洞多发于php。
三velocity parse()函数
官方定义:the #parse script element allows the template designer to import a local file that contains vtl. velocity will parse the vtl and render the template specified.
简单来说,parse()函数是用来引入包含vtl的模板
常见用法:
#parse( "me.vm" )
与之类似且易混淆的的是include()函数,但需要注意的是,include函数引入文件内容不经过template engine处理。
常见用法
#include( "one.txt" )
然而,在实际代码开发过程中,许多程序员会对变量进行拼接,写出以下代码(有不少真实案例,非yy):
#parse("${path}.vm")
于是乎,当path变量用户可控时,漏洞产生了。
四 利用条件
1.parse中的变量用户可控
2.velocity的模版读取不只限定在web目录下
3.能够截断 www.jb51.net
尤其是后两个条件,看似非常苛刻。
但是如果仔细研究你会发现,不少架构师并不会将velocity模版目录限定于web-inf甚至webapp目录下,这为我们的利用带来了可能性。
所以,在velocity.properties中,类似以下的配置都是危险的
resource.loader = file
file.resource.loader.class = org.apache.velocity.runtime.resource.loader.fileresourceloader
file.resource.loader.path = /opt/templates
file.resource.loader.path = /home/myhome/other_root_path
五 利用方法
与传统lfi利用并无大的差别,总结来说无非有3种类型
1.文件跳转读取敏感信息
http://test.com/index.php?page=../../../../../../../../../../etc/passwd%00
2.在上传点上传含有恶意vtl代码的jpg等文件,然后通过lfi进行包含以使得正常文件以vm解析。
3.修改http包,在请求url或user-agent处携带恶意vtl代码,再包含accesslog或/proc/self/environ以解析。
下面我们开始实战,也是用的lfi的经典利用手法之一
step1 我们在图片文件中插入以下代码:
#set ($exec ="thanks")$exec.class.forname("java.lang.runtime").getruntime().exec("calc")
step2 上传图片至服务器
step3 通过本地包含漏洞点,进行目录跳转并%00截断
六 防御方法
1.velocity.properties文件进行类似如下配置
resource.loader = webapp
webapp.resource.loader.class = org.apache.velocity.tools.view.servlet.webapploader
webapp.resource.loader.path=/web-inf/vm/
2.对用户提交的的参数进行../过滤
七 小结
国内关于java安全研究不多,明显的例子就是struts漏洞,常年无人问津直至前段时间出了利用程序才在国内火热起来。
安全最重要的是思路,漏洞并不只会发生在php上,希望本文能成为一个启示
velocity是一个基于java的模板引擎(template engine),它允许任何人仅仅简单的使用模板语言(template language)来引用由java代码定义的对象。我们知道,越是功能强大、函数丰富的渲染层语言(从某种意义上来说,php也可归类为渲染层语言)越会带来一些安全问题。
有人认为,velocity不能像jsp一样编写java代码,是严格的mvc分离,所以相当安全。那么请看看这篇文章吧,相信看完之后你不会继续这么认为:)
二 什么是本地包含漏洞(lfi)
本地包含(lfi)是一项经典的web hacking技术,攻击者目的是将可控的包含恶意代码的文件引入,并以渲染层语言执行。由于语言特性(如include,require函数),此漏洞多发于php。
三velocity parse()函数
官方定义:the #parse script element allows the template designer to import a local file that contains vtl. velocity will parse the vtl and render the template specified.
简单来说,parse()函数是用来引入包含vtl的模板
常见用法:
#parse( "me.vm" )
与之类似且易混淆的的是include()函数,但需要注意的是,include函数引入文件内容不经过template engine处理。
常见用法
#include( "one.txt" )
然而,在实际代码开发过程中,许多程序员会对变量进行拼接,写出以下代码(有不少真实案例,非yy):
#parse("${path}.vm")
于是乎,当path变量用户可控时,漏洞产生了。
四 利用条件
1.parse中的变量用户可控
2.velocity的模版读取不只限定在web目录下
3.能够截断 www.jb51.net
尤其是后两个条件,看似非常苛刻。
但是如果仔细研究你会发现,不少架构师并不会将velocity模版目录限定于web-inf甚至webapp目录下,这为我们的利用带来了可能性。
所以,在velocity.properties中,类似以下的配置都是危险的
resource.loader = file
file.resource.loader.class = org.apache.velocity.runtime.resource.loader.fileresourceloader
file.resource.loader.path = /opt/templates
file.resource.loader.path = /home/myhome/other_root_path
五 利用方法
与传统lfi利用并无大的差别,总结来说无非有3种类型
1.文件跳转读取敏感信息
http://test.com/index.php?page=../../../../../../../../../../etc/passwd%00
2.在上传点上传含有恶意vtl代码的jpg等文件,然后通过lfi进行包含以使得正常文件以vm解析。
3.修改http包,在请求url或user-agent处携带恶意vtl代码,再包含accesslog或/proc/self/environ以解析。
下面我们开始实战,也是用的lfi的经典利用手法之一
step1 我们在图片文件中插入以下代码:
#set ($exec ="thanks")$exec.class.forname("java.lang.runtime").getruntime().exec("calc")
step2 上传图片至服务器
step3 通过本地包含漏洞点,进行目录跳转并%00截断
六 防御方法
1.velocity.properties文件进行类似如下配置
resource.loader = webapp
webapp.resource.loader.class = org.apache.velocity.tools.view.servlet.webapploader
webapp.resource.loader.path=/web-inf/vm/
2.对用户提交的的参数进行../过滤
七 小结
国内关于java安全研究不多,明显的例子就是struts漏洞,常年无人问津直至前段时间出了利用程序才在国内火热起来。
安全最重要的是思路,漏洞并不只会发生在php上,希望本文能成为一个启示