| 一 背景及描述 Velocity是一個(gè)基于java的模板引擎(template engine),它允許任何人僅僅簡(jiǎn)單的使用模板語(yǔ)言(template language)來引用由java代碼定義的對(duì)象。我們知道,越是功能強(qiáng)大、函數(shù)豐富的渲染層語(yǔ)言(從某種意義上來說,PHP也可歸類為渲染層語(yǔ)言)越會(huì)帶來一些安全問題。 有人認(rèn)為,velocity不能像jsp一樣編寫java代碼,是嚴(yán)格的mvc分離,所以相當(dāng)安全。那么請(qǐng)看看這篇文章吧,相信看完之后你不會(huì)繼續(xù)這么認(rèn)為:) 二 什么是本地包含漏洞(LFI) 本地包含(LFI)是一項(xiàng)經(jīng)典的web hacking技術(shù),攻擊者目的是將可控的包含惡意代碼的文件引入,并以渲染層語(yǔ)言執(zhí)行。由于語(yǔ)言特性(如include,require函數(shù)),此漏洞多發(fā)于PHP。 三Velocity Parse()函數(shù) 官方定義:The #parse script element allows the template designer to import a local file that contains VTL. Velocity will parse the VTL and render the template specified. 簡(jiǎn)單來說,Parse()函數(shù)是用來引入包含VTL的模板 常見用法: #parse( "me.vm" ) 與之類似且易混淆的的是Include()函數(shù),但需要注意的是,include函數(shù)引入文件內(nèi)容不經(jīng)過template engine處理。 常見用法 #include( "one.txt" ) 然而,在實(shí)際代碼開發(fā)過程中,許多程序員會(huì)對(duì)變量進(jìn)行拼接,寫出以下代碼(有不少真實(shí)案例,非YY): #parse("${path}.vm") 于是乎,當(dāng)Path變量用戶可控時(shí),漏洞產(chǎn)生了。 四 利用條件 1.parse中的變量用戶可控 2.velocity的模版讀取不只限定在web目錄下 3.能夠截?cái)?www.jb51.net 尤其是后兩個(gè)條件,看似非常苛刻。 但是如果仔細(xì)研究你會(huì)發(fā)現(xiàn),不少架構(gòu)師并不會(huì)將velocity模版目錄限定于WEB-INF甚至Webapp目錄下,這為我們的利用帶來了可能性。 所以,在velocity.properties中,類似以下的配置都是危險(xiǎn)的 resource.loader = file file.resource.loader.class = org.apache.velocity.runtime.resource.loader.FileResourceLoader file.resource.loader.path = /opt/templates file.resource.loader.path = /home/myhome/other_root_path 五 利用方法 與傳統(tǒng)LFI利用并無大的差別,總結(jié)來說無非有3種類型 1.文件跳轉(zhuǎn)讀取敏感信息 http://test.com/index.php?page=../../../../../../../../../../etc/passwd%00 2.在上傳點(diǎn)上傳含有惡意vtl代碼的jpg等文件,然后通過LFI進(jìn)行包含以使得正常文件以vm解析。 3.修改http包,在請(qǐng)求url或user-agent處攜帶惡意VTL代碼,再包含accesslog或/proc/self/environ以解析。 下面我們開始實(shí)戰(zhàn),也是用的LFI的經(jīng)典利用手法之一 Step1 我們?cè)趫D片文件中插入以下代碼: #set ($exec ="thanks")$exec.class.forName("java.lang.Runtime").getRuntime().exec("calc") Step2 上傳圖片至服務(wù)器 Step3 通過本地包含漏洞點(diǎn),進(jìn)行目錄跳轉(zhuǎn)并%00截?cái)?br>  六 防御方法 1.velocity.properties文件進(jìn)行類似如下配置 resource.loader = webapp webapp.resource.loader.class = org.apache.velocity.tools.view.servlet.WebappLoader webapp.resource.loader.path=/WEB-INF/vm/ 2.對(duì)用戶提交的的參數(shù)進(jìn)行../過濾 七 小結(jié) 國(guó)內(nèi)關(guān)于java安全研究不多,明顯的例子就是struts漏洞,常年無人問津直至前段時(shí)間出了利用程序才在國(guó)內(nèi)火熱起來。 安全最重要的是思路,漏洞并不只會(huì)發(fā)生在PHP上,希望本文能成為一個(gè)啟示 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長(zhǎng)轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷服務(wù),與站長(zhǎng)一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長(zhǎng)網(wǎng)微信
大家都在看
