首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
Velocity Parse()函数引发的本地包含漏洞及利用方法
来源:http://www.freebuf.com 作者:Thanks 发布时间:2012-07-11  

一 背景及描述

Velocity是一个基于java的模板引擎(template engine),它允许任何人仅仅简单的使用模板语言(template language)来引用由java代码定义的对象。我们知道,越是功能强大、函数丰富的渲染层语言(从某种意义上来说,PHP也可归类为渲染层语言)越会带来一些安全问题。
有人认为,velocity不能像jsp一样编写java代码,是严格的mvc分离,所以相当安全。那么请看看这篇文章吧,相信看完之后你不会继续这么认为:)

二 什么是本地包含漏洞(LFI)

本地包含(LFI)是一项经典的web hacking技术,攻击者目的是将可控的包含恶意代码的文件引入,并以渲染层语言执行。由于语言特性(如include,require函数),此漏洞多发于PHP。

三 Velocity Parse()函数

官方定义The #parse script element allows the template designer to import a local file that contains VTL. Velocity will parse the VTL and render the template specified.

简单来说,Parse()函数是用来引入包含VTL的模板

常见用法:

#parse( "me.vm" )

与之类似且易混淆的的是Include()函数,但需要注意的是,include函数引入文件内容不经过template engine处理。

常见用法

#include( "one.txt" )

然而,在实际代码开发过程中,许多程序员会对变量进行拼接,写出以下代码(有不少真实案例,非YY):

#parse("${path}.vm")

于是乎,当Path变量用户可控时,漏洞产生了

四 利用条件

1.parse中的变量用户可控
2.velocity的模版读取不只限定在web目录下
3.能够截断

尤其是后两个条件,看似非常苛刻。

但是如果仔细研究你会发现,不少架构师并不会将velocity模版目录限定于WEB-INF甚至Webapp目录下,这为我们的利用带来了可能性。

所以,在velocity.properties中,类似以下的配置都是危险的 

resource.loader = file
file.resource.loader.class = org.apache.velocity.runtime.resource.loader.FileResourceLoader
file.resource.loader.path = /opt/templates
file.resource.loader.path = /home/myhome/other_root_path

五 利用方法

与传统LFI利用并无大的差别,总结来说无非有3种类型

1.文件跳转读取敏感信息 

http://test.com/index.php?page=../../../../../../../../../../etc/passwd%00

2.在上传点上传含有恶意vtl代码的jpg等文件,然后通过LFI进行包含以使得正常文件以vm解析。

3.修改http包,在请求url或user-agent处携带恶意VTL代码,再包含accesslog或/proc/self/environ以解析。

下面我们开始实战,也是用的LFI的经典利用手法之一

Step1 我们在图片文件中插入以下代码:

#set ($exec ="thanks")$exec.class.forName("java.lang.Runtime").getRuntime().exec("calc")

Step2 上传图片至服务器

Step3 通过本地包含漏洞点,进行目录跳转并%00截断,然后代码执行(下图以开一个计算器为例

 

六 防御方法

1.velocity.properties文件进行类似如下配置

resource.loader = webapp
webapp.resource.loader.class = org.apache.velocity.tools.view.servlet.WebappLoader
webapp.resource.loader.path=/WEB-INF/vm/ 

2.对用户提交的的参数进行../过滤

七 小结

国内关于java安全研究不多,明显的例子就是struts漏洞,常年无人问津直至前段时间出了利用程序才在国内火热起来。

安全最重要的是思路,漏洞并不只会发生在PHP上,希望本文能成为一个启示。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·织梦cms v6.7最新上传漏洞
·SHOPEX 4.8.5 注入漏洞以及后台
·phpcms v9注入漏洞
·Discuz7.X通杀0day(UCenter Home
·phpcms 2008多个漏洞 (可getshel
·structs2 远程命令执行漏洞分析
·SAE云服务安全沙箱绕过
·最新python提权:python-wrapper
·SAE云服务安全沙箱绕过2(利用cra
·Dedecms 注射漏洞获得管理员密码
·SAE云服务安全沙箱绕过3(绕过命
·Thinkphp框架动态执行漏洞
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved