代码审计 | 表达式注入
代码审计 | 表达式注入
1、介绍
表达式语言(Expression Language)简称 EL 表达式,是一种 JSP 内置的语言。
在 JSP 中,使用 {} 来表示 EL 表达式,例如 {name} 表示获取 name 变量。
在 EL 表达式中有两种获取对象属性的方法,第一种为 {param.name},第二种为 {param[name]}
2、实例
使用实例
使用 param 对象获取用户传入的参数值,这里的 ${param.name} 相当于 request.getParameter(“name”)
<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
<title>EL 表达式实例页面</title>
</head>
<body>
<h3>输入的 name 值为:${param.name}</h3>
</body>
</html>这样当我们访问 http://xxx:8080/xxx/?name=teamssix 的时候,页面就会返回「输入的 name 值为:teamssix」
EL 表达式也可以实例化 Java 的内置类,比如 Runtime.class 会执行系统命令
<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
<title>EL 表达式实例页面</title>
</head>
<body>
${Runtime.getRuntime().exec("calc")}
</body>
</html>当执行该页面代码时,就可以看到计算器被弹出来了,不过前提是 Tomcat 被部署在 Windows 下,如果在 Linux 下则需要将 calc 换成其他命令,不然会报错 500
Spring 标签 EL 表达式漏洞(CVE-2011-2730)
在历史上出现过一个 Spring 标签 EL 表达式漏洞(CVE-2011-2730),Spring 表达式语言(SpEL)是一种与 EL 功能类似的表达式语言。
在未对用户的输入做严格检查并且错误的使用 Spring 表达式语言时就可能产生表达式注入漏洞。
在 SpEL 的 Evaluation 接口中,有两个实现方法,分别为 SimpleEvaluationContext 和 StandardEvaluationContext 方法,其中前者权限比较小,后者权限比较大,因此当使用 StandardEvaluation 方法时,就可以利用 Runtime.class 方法执行命令,例如以下代码:
import org.springframework.expression.EvaluationContext;
import org.springframework.expression.Expression;
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.spel.support.StandardEvaluationContext;
public class SpEL {
public static void mian(String[] args) {
String expressionstr = "T(Runtime).getRuntime().exec(\"open -a Calculator\")";
ExpressionParser parser = new SpelExpressionParser();
EvaluationContext evaluationContext = new StandardEvaluationContext();
Expression expression = parser.parseExpression(expressionstr);
System.out.println(expression.getValue(evaluationContext));
}
}Spring Data Commons 远程代码执行漏洞(CVE-2018-1273)
对于 2018 年出的 Spring Data Commons RCE 漏洞,RT 可以通过构造 SpEL 表达式实现 RCE
通过观察官方补丁,可以发现正是将原来的 StandardEvaluationContext 方法换成了 SimpleEvaluationContext 方法。
补丁地址:https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
175 - StandardEvaluationContext context = new StandardEvaluationContext();180 + EvaluationContext context = SimpleEvaluationContext往期推荐 代码审计 | 命令注入和代码注入 代码审计 | SQL 注入 代码审计 | Java Web 过滤器 - filter
参考文章: https://blog.csdn.net/lup7in/article/details/8659408 https://misakikata.github.io/2018/09/%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/ 原文链接: https://www.teamssix.com/211129-180558.html