漏洞简介
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。此漏洞产生于Spring Data Commons组件。
参考:http://blog.nsfocus.net/cve-2018-1273-analysis/
官方通告:
https://tanzu.vmware.com/security/cve-2018-1273
提到了两个commit,都是在spring-data-commons-1.13.10.RELEASE.jar!\org\springframework\data\web\MapDataBinder#
通过补丁,知道补丁大致就是将StandardEvaluationContext
替代为SimpleEvaluationContext
,由于StandardEvaluationContext权限过大,可以执行任意代码,会被恶意用户利用。
SimpleEvaluationContext的权限则小的多,只支持一些map结构,通用的jang.lang.Runtime,java.lang.ProcessBuilder都已经不再支持,详情可查看SimpleEvaluationContext的实现。
环境搭建
环境搭建参考:
https://github.com/wearearima/poc-cve-2018-1273
直接在IDEA中打开,会自定将依赖的mvn库加入到依赖中。
点击右上角调试按钮即可进行调试。
SpelExpressionParser PARSER;
// 以下两种方式都可以造成RCE
Expression expression = PARSER.parseExpression("T(java.lang.Runtime).getRuntime().exec('calc')");expression.getValue(Class.class);
Expression expression = PARSER.parseExpression("T(java.lang.Runtime).getRuntime().exec('calc')");expression.setValue(context, "123");
静态代码审计规则可以放在getValue
和setValue
方法上。
参考
- https://cws6.github.io/2019/02/27/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/
- http://rui0.cn/archives/1043
- https://www.mi1k7ea.com/2020/01/10/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93/
- https://p0rz9.github.io/2019/05/28/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/