准备
编译Gondvv.java,生成在Gondvv.class,在同目录下新建test.htm,内容如下
粗略观察一下java代码,应该是绕过了Java Sandbox,而并非是JVM中溢出等漏洞,所以可以直接调试java代码。
setSecurityManager
首先需要简单了解setSecurityManager()函数。setSecurityManager()用于设置一个SystemSecurity。如果已经设置过securityManager,调用setSecurityManager时则会调用checkPermission检查权限是否正确。同样可以通过调用setSecurityManager来替换掉一个现有的securityManager。所以绕过SandBox的方法一般为禁用掉SecurityManager,调用setSecurityManager()函数,并传入null参数。如下图
首先对setSecurityManager()下断点,检查函数调用链,看是在何处修改security manager。
中断在setSecurityManager(),观察函数调用链
可以在调用链中观察到Gondvv中的代码,调用了Gondvv.disableSecurity()函数。并且观察一下setSecurityManager()的参数,为null,这是一个取消security manager的操作,若执行成功,则可以绕过其权限检查,从而任意执行命令。链中出现Gondvv的代码,为非信任代码,却仍成功关闭SecurityManager,猜测可能是权限被修改。
代码分析
下面开始分析Gondvv.java中的disableSecurity()函数。
首 先 创 建 表 达 式 , 用 于 执 行setSecurityManager()。但是,若直接执行则会触发setSecurityManager()中checkPermission()的检查,导致失败
所以在Gondvv.java中,首先修改上下文为AllPermission,以保证以AllPermission权限调用
setSecurityManager(),绕过检查。下图为准备设置的新权限。
接着调用关键函数,在此函数内,完成权限的更改。
创建一个表达式,用来获取到SunToolkit,在java6中是获取不到的,java7中的ClassFinder
可以获取到SunToolkit
查看GetClass的实现,是表达式调用Class.forName(“sun.awt.SunToolkit”),用来获取SunToolkit
接着会在Expression.invoke()调用到ClassFinder.findClass(),如下图
此时可以观察ClassFinder.findClass()的参数,正是“sun.awt.SunToolkit”,通过ClassFinder类成功的获取到了我们想要的信息
其中”acc”为Statement中的私有成员,用于控制当前Statement上下文的访问权限
getField()为sun.awt.SunToolkit中的一个公有方法,并返回一个对象的引用(Field类型),并且
该方法可以获取到私有成员,如下图
以下表达式实际为SunToolkit.getField(Statement.class, “acc”),即执行该表达式后,即可返
回”acc”的引用
此时已成功获取acc对象,可直接修改其权限。
调用Field类的set方法,成功的将传入的localStatement上下文设置为AllPermission,localStatement上下文权限已被修改,执行该Statement将可通过setSecurityManager()中的权限检查,将SecurityManager置为null
执行Statement,即可执行任意命令。
Exploit中弹出calc
漏洞成因
sun.awt.SunToolkit本身就是安全机制实现的一部分,按照SandBox的机制,是不应该让不信任的代码直接获取到该类库的,而ClassFinder.findClass()却没有考虑这一点,致使攻击者可以获取到SunToolkit,修改自身权限,进而关闭SecurityManager.
3422
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
