前言

從安全開發(fā)的角度來看，Ruby on Rails是一套很友善的框架。它從框架層避免了很多過去網(wǎng)站長出現(xiàn)的安全問題。例如使用ORM避免大部分的SQL injection問題，有內(nèi)建的authenticity_token讓開發(fā)者不必特別煩惱CSRF，從機制面規(guī)定了開發(fā)者使用Strong Parameter來避免Mass Assignment，預(yù)設(shè)轉(zhuǎn)化危險字符避免XSS等。

就我們從過去的滲透測試的經(jīng)驗來看，Rails網(wǎng)站雖然還是能找到問題，但相對問題較少，而且很少單純因為Rails寫法問題拿到系統(tǒng)權(quán)限。而今天要分享的，是一次滲透測試中比較特別的例子。因為開發(fā)者使用了動態(tài)模板路徑(Dynamic Render Paths)的寫法(注解1)，最后造成了嚴重的結(jié)果。

動態(tài)模板路徑，OWASP的介紹是這樣的：

OWASP是這樣說，如果你的模板路徑是動態(tài)產(chǎn)生的，而且使用者可以控制那個模板路徑。那么使用者就可以讀取任意模板，包括管理界面模板。這樣的描述感覺還好，但就我們的發(fā)現(xiàn)，這其實是嚴重的直接存取物件問題(Insecure Direct Object References)，甚至有機會造成遠程代碼執(zhí)行(Remote Code Execution)。怎么說呢?我們直接看下去。

基本細節(jié)

一個動態(tài)模版路徑的寫法如下：

# app/controllers/welcome_controller.rb 
class WelcomeController < ApplicationController 
  def index 
    page = params[:page] || 'index' 
    render page 
  end 
end 

而index的模版內(nèi)容是這樣：

<span class="c">#app/views/welcome/index.html.erb 
This is INDEX page.</span> 

另外建一個demo模版做示意：

# app/views/welcome/demo.html.erb 
This is DEMO page. 

實際測試，如果我們連到WelcomeController的index action，不帶任何參數(shù)會讀取index模版。

如果帶參數(shù)page=demo，會讀取到demo模版。

所以，如果我們知道管理界面的模版路徑，送出路徑參數(shù)就可以讀取到管理界面。這就是OWASP所描述的風險，攻擊者得以讀取任意模版。

然而，當我們嘗試送出系統(tǒng)絕對路徑例如/etc/passwd(注解2)，網(wǎng)頁竟然顯示/etc/passwd的內(nèi)容!這就是之前所述的直接存取物件問題，可以遍歷目錄瀏覽檔案。

進階攻擊

通常在Rails環(huán)境下能夠讀取任意檔案，攻擊者會優(yōu)先尋找secret_token，目的是變造惡意session cookie利用Marshal serialize的問題做RCE。然而在本案例系統(tǒng)使用了Rails 4.1后的版本，Rails 4.1預(yù)設(shè)使用了JSON-based的serializer防止了之前的RCE問題，所以并沒有辦法輕松利用。

為了取得系統(tǒng)操作權(quán)，我們嘗試尋找其他可利用的地方。在這邊我們發(fā)現(xiàn)了該站系統(tǒng)production.log中存在AWS的上傳紀錄。如下：

# log/production.log 
INFO -- : [AWS S3 200 0.041347 0 retries] put_object(:acl=>:public_read,:bucket_name=>"xxx 

于是我們可以利用上傳檔案的Content-Type內(nèi)容，將Embedded Ruby語句<%

#{params[：devcore]} 

%>添加到production.log檔案里面。于是log的內(nèi)容變成了下面這樣：

# log/production.log 
INFO -- : [AWS S3 200 0.041347 0 retries] put_object(:acl=>:public_read,:bucket_name=>"xxxx",:content_length=>12405,:content_type=>"image/png",:data=>#<File:/Users/shaolin/project/playground/rails/render/public/uploads/tmp/test_upload.png (12405 bytes)>,:key=>"upload_001") 
 
INFO -- : [AWS S3 200 0.040211 0 retries] put_object(:acl=>:public_read,:bucket_name=>"xxx 

接著，我們就可以利用前面的弱點讀取production.log檔案，再帶一個devcore參數(shù)作為指令，如圖，成功取得系統(tǒng)權(quán)限：

風險原因

一般來說Rails開發(fā)并不太會這樣寫，但稍微搜尋一下Github還是能發(fā)現(xiàn)這種寫法存在一些項目中。我想主要原因多半是開發(fā)者想要偷懶，然后也可能想說動態(tài)模板路徑頂多就被看到面板的html，無傷大雅。誰知道就因為這樣導(dǎo)致整個代碼內(nèi)容被讀取。

若有一個action要動態(tài)顯示不同模版的需求，為了避免上述的問題，就辛苦點先用case…when去判斷吧。這跟不要用字串組SQL語句避免SQL injection一樣，這種外面?zhèn)鬟M來的參數(shù)都要謹慎處理的觀念要內(nèi)化在開發(fā)中。

除了開發(fā)者基本上不應(yīng)該這樣開發(fā)外，Rails本身也有一點點問題，當render路徑?jīng)]有擴展名，無法判斷什么格式時，就會直接采用預(yù)設(shè)的template handler。

# lib/action_view/template/resolver.rb 
def extract_handler_and_format_and_variant(path, default_formats) 
  pieces = File.basename(path).split(".") 
  pieces.shift 
 
  extension = pieces.pop 
  unless extension 
    message = "The file #{path} did not specify a template handler. The default is currently ERB, " \ 
              "but will change to RAW in the future." 
    ActiveSupport::Deprecation.warn message 
  end 
 
  handler = Template.handler_for_extension(extension) 
  format, variant = pieces.last.split(EXTENSIONS[:variants], 2) if pieces.last 
  format  &&= Template::Types[format] 
 
  [handler, format, variant] 
end 

而這里預(yù)設(shè)的handler是ERB(見register_default_template_handler)，所以有本篇后面提到的進階攻擊，可以被利用來RCE。

# lib/action_view/template/handlers.rb 
def self.extended(base) 
  base.register_default_template_handler :erb, ERB.new 
  base.register_template_handler :builder, Builder.new 
  base.register_template_handler :raw, Raw.new 
  base.register_template_handler :ruby, :source.to_proc 
end 

慶幸的是，目前Rails已經(jīng)把預(yù)設(shè)的template handler從ERB改成RAW，不會輕易把要render的檔案當成ERB執(zhí)行了。詳細的內(nèi)容請參考這個commit。

結(jié)論

Ruby on Rails能讓開發(fā)者較輕松的開發(fā)出安全的應(yīng)用程序，然而，若開發(fā)者不注意，還是有可能寫出嚴重的漏洞。本文的動態(tài)樣板路徑就是這樣一個例子，它不只是OWASP所描述的可以存取任意模版而已，它可以遍歷檔案，甚至因為rails預(yù)設(shè)的template handler是ERB，造成遠程代碼執(zhí)行讓攻擊者取得服務(wù)器操作權(quán)。

這個例子又再次驗證，框架可以幫助大家快速開發(fā)，增加安全度。但唯有良好的安全意識，才是應(yīng)用程序安全的基石。