Xcheck 对 Java 工具类代码的分析尝试

admin 2022年5月9日19:29:30安全开发评论4 views8880字阅读29分36秒阅读模式
Xcheck 对 Java 工具类代码的分析尝试

0x00 背景

log4j2 和 spring cloud function 爆出严重的安全漏洞,作为静态代码扫描工具,Xcheck 经常会被问到——是否能够发现此类漏洞。

从设计初衷出发,Xcheck 不会对框架代码和工具类代码(第三方 Jar 包)进行有效扫描。

主要有以下原因:

  1. 此类代码与上层应用代码相比,通常来说漏洞相对少,且使用到的 Java 语言特性比较复杂,Xcheck 使用的污点传播模型来进行分析,即不够高效,效果也不够理想
  2. 工具类代码的入口缺乏统一的特征,如果要通过自定义规则来逐一标注,不利于实现自动化批量分析

尝试自己使用CodeQL,以及参考网上的文章,在不添加专用规则的前提下并没有实现精准的分析出 log4j2 的漏洞。

那么换一个思路,如果只需要得出近似的结果,Xcheck 是否可以做?

近期,基于 Java 引擎进行扩展,实现了对框架代码和工具类代码的分析,能够得出一些近似结果,可以辅助做安全研究的同学用于分析。

0x01 log4j2

分析后,根据lookup函数得出可能的入口函数有 426 个,其中虽然包含了所需要的函数,但是也存在不少干扰数据:

AbstractLogger.debug(Marker, String, Object, Object, Object, Object, Object, )
AbstractLogger.debug(Marker, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.debug(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.enter(String, MessageSupplier, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, Object, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(String, Object, Object, Object, Object, Object, )
AbstractLogger.error(String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.error(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.fatal(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Level, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.log(Message, )
AbstractLogger.readObject(ObjectInputStream, )
AbstractLogger.throwing(Level, T, )
AbstractLogger.trace(Marker, String, Object, Object, Object, Object, Object, )
AbstractLogger.trace(Marker, String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(Marker, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.trace(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(Marker, String, Object, Object, Object, Object, Object, )
AbstractLogger.warn(Marker, String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(Marker, String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(Marker, String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(String, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(String, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(String, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
AbstractLogger.warn(String, Object, Object, Object, Object, Object, Object, Object, Object, Object, Object, )
...
...

Xcheck 能够找到从风险函数到入口函数的调用链路,但是,在不做专用规则的前提下,无法生成与真实路径一致的结果。

在此类较为复杂的场景下,Xckeck可以做的是,根据Debug过程中的实际数据,实时生成可能的调用链路,从而辅助漏洞挖掘:

Xcheck 对 Java 工具类代码的分析尝试

0x02 Spring Cloud Function

分析后,根据parseExpression函数得出可能的入口函数有 4 个:

FunctionDeployerConfiguration.functionArchiveUnDeployer(FunctionDeployerProperties, FunctionRegistry, ApplicationArguments, MavenProperties, ApplicationContext, )

HeaderEnricher.apply(Object, )

RoutingFunction.apply(Object, )

SimpleFunctionRegistry.FunctionInvocationWrapper.accept(Object, )

其中调试确认 RoutingFunction.apply(Object)是真实触发路径上的函数:Xcheck 对 Java 工具类代码的分析尝试

Xcheck 分析出的调用路径与实际结果吻合:

RoutingFunction.apply(Object)
RoutingFunction.route(Object, String)
RoutingFunction.functionFromExpression(String, Object, String)
org.springframework.expression.spel.standard.SpelExpressionParser.parseExpression()

还缺少 doApply 到 post 的调用链条,是由于工具在处理上存在一点小的瑕疵,后续会补齐。

0x03 其它

尝试分析常见的 Java 框架和工具类代码,发现很多之前没有关注到的有意思代码,以下是一些归纳总结。

  1. 很多软件都会对配置文件中的内容调用表达式语言进行解析,例如:

    Mybatis3 在处理某些标签时,会调用 OGNL 对标签属性进行解析

    spring-cloud-stream-binder-rabbit 的部分 bindings 配置信息会被 SPEL 解析

    如果你发现有写配置文件或者XML文件的漏洞,可以考虑上述特性的利用

  2. 反序列化还是广泛存在于各种软件中,如果有新的反序列化链条被发现,会有很大影响,例如:

    spring-cloud-integration的session数据的持久化逻辑中

  3. 代码中的各种注解,很多都用到表达式语言模块进行解析,例如:

    jeecg-boot、resilience4j、spring-batch

0x04 总结

  1. 目前主流 SAST 工具对于框架类代码和工具类代码,在不做专用规则的前提下,只能输出近似调用链条的结果

  2. 对于调用关系复杂场景(如 log4j2),输出的调用链条更多的意义在于辅助安全研究人员进行调试分析

  3. 对于调用关系简单的场景(如 spring cloud function),输出的调用链条比较接近于准确结果


原文始发于微信公众号(腾讯代码安全检查Xcheck):Xcheck 对 Java 工具类代码的分析尝试

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月9日19:29:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Xcheck 对 Java 工具类代码的分析尝试 http://cn-sec.com/archives/992761.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: