Spring 场景下突破 pebble 模板注入限制

最新推荐文章于 2024-08-15 09:11:02 发布
最新推荐文章于 2024-08-15 09:11:02 发布
阅读量403 收藏 1
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JHIII/article/details/126246112
版权
本文详细介绍了如何在Spring环境中利用Pebble模板引擎的漏洞进行目录穿越、RCE攻击路径构建、绕过限制加载Class对象等技巧。作者通过分析源码和调试,展示了从上传恶意模板文件到实现远程代码执行的完整过程,涉及Spring MVC、文件上传、模板注入等多个方面。
摘要由CSDN通过智能技术生成

写在前面

之前周末忙着强网杯,对这道题只做了一半就搁置下来了,最后卡在绕过最新pebble模板引擎RCE那里,今天抽空来继续进行剩下的分析,正好题目里有几个在现实场景当中能用的trick顺便也分享了

题目环境分析

也是挺不错题目直接给了docker环境便于本地搭建,同时设置了权限需要执行./getflag才能获取获得flag

FROM openjdk:18-slim-bullseye

RUN mkdir /usr/src/app
WORKDIR /usr/src/app

# create user
RUN groupadd chalusr
RUN useradd -ms /bin/bash -g chalusr chalusr

COPY spoink/target/spoink-0.0.1-SNAPSHOT-spring-boot.jar ./
COPY spoink/public ./public
COPY spoink/templates ./templates
COPY getflag ./

RUN chmod 111 ./getflag

USER chalusr
CMD ["java", "-jar", "/usr/src/app/spoink-0.0.1-SNAPSHOT-spring-boot.jar"]

路由只有一个,根据参数x返回指定模板,刚看到这里的时候其实有点懵,毕竟很少见到只给一个路由的代码

@Controller
public class HomeController {
    public HomeController() {
    }

    @RequestMapping({"/"})
    public String getTemplate(@RequestParam("x") Optional<String> template, Model model) {
        return (String)template.orElse("home.pebble");
    }
}

不过我很快关注到了一个application.properties当中一个很有趣的点,也就是这里没有后缀,因此想到了一个目录穿越的可能

pebble.prefix = templates
pebble.suffix =

正文

目录穿越

为什么我说上面那个点很有趣,其实就是第一个想分享的trick,路径穿越,简单来说pebble当中有两个loader一个是classpathloader,另一个是fileloader,优先会在classpath下尝试加载模板文件,如果寻找不到则使用fileloader尝试加载模板文件,其他调用栈不是很重要这里就不多提了

既然想实现任意文件读那第一个就别想了,我们来看第二个,它在com.mitchellbosecke.pebble.loader.FileLoader#getFile最终加载模板文件内容

可以很明显看到这里没有做路径限制,导致我们可以进行跨目录读任意文件

结果如下

RCE攻击路径初步构建

因此我们便能成功想到一条能RCE的攻击路径

  1. 上传带恶意内容的模板文件到目标服务器
  2. 利用LFI读取这个模板并RCE

如何上传文件?上传了如何获取?

但是这里就遇到第一个难点,如何上传文件?这里路由当中并没有上传文件的功能点

怎么办?其实很简单,我们也知道,我们的Spring MVC框架是围绕DispatcherServlet来设计的,这个Servlet会把请求分发给各个处理器,并支持可配置的处理器映射、视图渲染、本地化、时区与主题渲染和 文件上传 等功能,好了我都圈出来重点了

在这过程当中它会检查这是否是一个表单请求

正好我们也知道spring默认使用内置的tomcat引擎,

在处理表单的内容当中这会调用 org.apache.catalina.connector.Request#getParts 去处理解析内容,而这在之前的文章Tomcat文件上传流量层面系列文章当中也提到过,遗忘的可以去 我的博客 考古

废话不多说,类似php的处理一样,它会先将上传的文件保存到一个临时目录再最终复制到目标文件夹,临时文件夹的获取在哪里,在 org.apache.catalina.connector.Request#parseParts

发现是通过 javax.servlet.MultipartConfigElement#getLocation 函数获取到保存到临时路径

不难看到这里是空对吧,也就是默认值(默认的话后面会存到/tmp目录下),顺便多提一下,哪里可以设置这个location呢

在spring的启动过程当中,会根据 spring.servlet.multipart.location 的值设置这个内容,具体可以自行去参考org.springframework.boot.autoconfigure.web.servlet.MultipartProperties

@ConfigurationProperties(
    prefix = "spring.servlet.multipart",
    ignoreUnknownFields = false
)
public class MultipartProperties {
    private boolean enabled = true;
    private String location;
    private DataSize maxFileSize = DataSize.ofMegabytes(1L);
    private DataSize maxRequestSize = DataSize.ofMegabytes(10L);
    private DataSize fileSizeThreshold = DataSize.ofBytes(0L);
    private boolean resolveLazily = false;

    public MultipartProperties() {
    }

    public boolean getEnabled() {
        return this.enabled;
    }

    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

    public String getLocation() {
        return this.location;
    }

    public void setLocation(String location) {
        this.location = location;
    }

    public DataSize getMaxFileSize() {
        return this.maxFileSize;
    }

    public void setMaxFileSize(DataSize maxFileSize) {
        this.maxFileSize = maxFileSize;
    }

    public DataSize getMaxRequestSize() {
        return this.maxRequestSize;
    }

    public void setMaxRequestSize(DataSize maxRequestSize) {
        this.maxRequestSize = maxRequestSize;
    }

    public DataSize getFileSizeThreshold() {
        return this.fileSizeThreshold;
    }

    public void setFileSizeThreshold(DataSize fileSizeThreshold) {
        this.fileSizeThreshold = fileSizeThreshold;
    }

    public boolean isResolveLazily() {
        return this.resolveLazily;
    }

    public void setResolveLazily(boolean resolveLazily) {
        this.resolveLazily = resolveLazily;
    }

    public MultipartConfigElement createMultipartConfig() {
        Mult
最低0.47元/天 解锁文章
Java海
关注
pebble-example-spring:使用Spring + Pebble的示例应用程序
05-22
卵石示例春天 使用Spring + Pebble的示例应用程序
SpringBoot系列: Pebble模板引擎
weixin_33834628的博客
11-11 824
===============================Java 模板引擎选择===============================SpringBoot Starter项目向导中可选的Java模版引擎有:1. Thymeleaf (百里香草叶子)2. Freemarker3. Mustache4. Groovy Templates 简单评价这些模版引擎吧, 1. Thymelea...
Pebble 模板引擎使用教程
最新发布
gitblog_00583的博客
08-15 807
Pebble 模板引擎使用教程 pebbleJava Template Engine项目地址:https://gitcode.com/gh_mirrors/peb/pebble 1. 项目的目录结构及介绍 Pebble 模板引擎的 GitHub 仓库(https://github.com/PebbleTemplates/pebble)包含以下主要目录和文件: src: 源代码目录,包含主要的...
SpringBoot系列: Pebble模板引擎语法介绍
weixin_33980459的博客
11-11 818
本文基于Pebble官方文档, 对pebble的语法做一些介绍.  ===============================Pebble 官方资料===============================主页: https://pebbletemplates.io/github wiki: https://github.com/PebbleTemplates/pebble/wiki ...
JavaSpringBoot 整合 Pebble模板引擎渲染html
彭世瑜的博客
02-05 1033
Pebble模板引擎,和PHP中的Twig、Python中的Django/jinja2模板语法类似。模板文件 resources/templates/index.html。配置 application.properties。所以,spring-boot-2版本,还得使用。打开starter的依赖配置可以看到。官方文档给出的版本号对应。完整配置pom.xml。
探索Pebble Templates:一个强大且灵活的模板引擎
gitblog_00096的博客
04-09 485
探索Pebble Templates:一个强大且灵活的模板引擎 pebbleJava Template Engine项目地址:https://gitcode.com/gh_mirrors/peb/pebble 是一个Java编写的轻量级、高效且易于理解的模板引擎,它为开发人员提供了一种简单的方式来将静态内容与动态数据结合,生成定制化的HTML或者其他文本格式的文件。在这个项目中,我们将深入探讨它...
pebble-spring-translate:Pebble 模板引擎的翻译扩展,使用 Spring 消息接口
06-14
Pebble 模板引擎的翻译扩展,使用 Spring 消息接口 概述 为模板引擎提供t函数,它从 Spring MessageSource 检索消息。 {{ t('users.show.title') }} “懒惰”查找 函数支持,因此您可以在users/show.html查找users....
pebbleJava模板引擎
02-03
Pebble是受启发的Java模板引擎。 它通过继承功能和易于阅读的语法将自己从人群中分离出来。 它带有内置的自动转义功能以确保安全性,并且包括对国际化的集成支持。 有关更多信息,请访问。 卵石弹簧启动启动器的...
spring-boot-email-tools:一组服务和工具,用于使用模板引擎Spring Boot 1.5.x应用程序中发送电子邮件
01-30
最新版本: 0.6.3 最新工件: it.ozimov:spring-boot-email-core , it.ozimov:spring-boot-freemarker-email , it.ozimov:spring-boot-mustache-email , it.ozimov:spring-boot-pebble-email , it.ozimov:...
java-pebble-template-demo
04-27
Java Pebble模板引擎演示 尝试使用渲染模板。 在您的IDE中运行Hello.java
cpp-Pebble腾讯互娱开源分布式开发框架
08-16
Pebble 腾讯互娱开源分布式开发框架
Python-Pebble的Python几乎支持
08-12
Pebble的Python(几乎)支持
Java】使用原生Java实现MVC的基本思路(廖雪峰Java学习笔记)
莫邪莫急的博客
08-21 566
Java MVC原理
从安全角度谈Java反射机制--终章
Summer's blog
05-13 4536
从安全角度谈Java反射机制,深入了解SSTI的payload的构造方法。
Pebble开发教程 - (一)入门
白露未晞的专栏
10-27 4819
Pebble开发教程 - (一)入门创建一个自己的Pebble表盘(watchface)       在你开发Pebble时,使用CloudPebble和在本机上使用SDK是有一些差异的。一个新的基础表盘看起来像这样: APLITE BASALT CHALK 使用CloudPebble开发 1) 创建新的项目        转到CloudPebble网站并点击Get S
分布式开发框架Pebble使用说明
weixin_33872566的博客
04-26 507
简介 Pebble定位为一个好用、可靠、高性能、易扩展的分布式开发框架,支持多种使用方式: 使用完整的pebble框架 独立使用各pebble子模块 在其他框架中嵌入pebble框架。 Pebble具备良好的扩展性,可非常方便的扩展对接现有系统。基于该框架,可以让开发者只需专注于业务逻辑的实现,而不需要关注基础功能的开发,如网络通信,数据存储,集群管理等。使用pebble配套的运...
jackson框架java反序列化漏洞_Jackson enableDefaultTyping 方法反序列化代码执行漏洞(CVE-2017-7525)...
weixin_35983968的博客
02-23 483
Earlier this year, a vulnerability was discovered in the Jackson data-binding library, a library for Java that allows developers to easily serialize Java objects to JSON and vice versa, that allowed a...
unity Pebble 服务中的广播
05-26
Unity Pebble 服务中的广播可以通过以下步骤来实现: 1. 在 Unity 中创建一个新的脚本,例如 BroadcastManager。 2. 在脚本中定义需要广播的消息类型和参数。 3. 使用 Unity 的 SendMessage() 函数来发送消息。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值