【代码审计】表达式注入


1、介绍

表达式语言(Expression Language)简称 EL 表达式,是一种 JSP 内置的语言。

在 JSP 中,使用 ${} 来表示 EL 表达式,例如 ${name} 表示获取 name 变量。

在 EL 表达式中有两种获取对象属性的方法,第一种为 ${param.name},第二种为 ${param[name]}

2、实例

使用实例

使用 param 对象获取用户传入的参数值,这里的 ${param.name} 相当于 request.getParameter(“name”)

<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
    <title>EL 表达式实例页面</title>
</head>
<body>
<h3>输入的 name 值为:${param.name}</h3>
</body>
</html>

这样当我们访问 http://xxx:8080/xxx/?name=teamssix 的时候,页面就会返回「输入的 name 值为:teamssix」

EL 表达式也可以实例化 Java 的内置类,比如 Runtime.class 会执行系统命令

<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
    <title>EL 表达式实例页面</title>
</head>
<body>
${Runtime.getRuntime().exec("calc")}
</body>
</html>

当执行该页面代码时,就可以看到计算器被弹出来了,不过前提是 Tomcat 被部署在 Windows 下,如果在 Linux 下则需要将 calc 换成其他命令,不然会报错 500

Spring 标签 EL 表达式漏洞(CVE-2011-2730)

在历史上出现过一个 Spring 标签 EL 表达式漏洞(CVE-2011-2730),Spring 表达式语言(SpEL)是一种与 EL 功能类似的表达式语言。

在未对用户的输入做严格检查并且错误的使用 Spring 表达式语言时就可能产生表达式注入漏洞。

在 SpEL 的 Evaluation 接口中,有两个实现方法,分别为 SimpleEvaluationContext 和 StandardEvaluationContext 方法,其中前者权限比较小,后者权限比较大,因此当使用 StandardEvaluation 方法时,就可以利用 Runtime.class 方法执行命令,例如以下代码:

import org.springframework.expression.EvaluationContext;
import org.springframework.expression.Expression;
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.spel.support.StandardEvaluationContext;

public class SpEL {
    public static void mian(String[] args) {
        String expressionstr = "T(Runtime).getRuntime().exec(\"open -a Calculator\")";
        ExpressionParser parser = new SpelExpressionParser();
        EvaluationContext evaluationContext = new StandardEvaluationContext();
        Expression expression = parser.parseExpression(expressionstr);
        System.out.println(expression.getValue(evaluationContext));
    }
}

Spring Data Commons 远程代码执行漏洞(CVE-2018-1273)

对于 2018 年出的 Spring Data Commons RCE 漏洞,RT 可以通过构造 SpEL 表达式实现 RCE

通过观察官方补丁,可以发现正是将原来的 StandardEvaluationContext 方法换成了 SimpleEvaluationContext 方法。

补丁地址:https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a

175 - StandardEvaluationContext context = new StandardEvaluationContext();
180 + EvaluationContext context = SimpleEvaluationContext

参考文章:

https://blog.csdn.net/lup7in/article/details/8659408

https://misakikata.github.io/2018/09/%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/

更多信息欢迎关注我的个人微信公众号:TeamsSix


文章作者: TeamsSix
版权声明: 本博客所有文章除特別声明外,均采用 CC BY-NC 4.0 许可协议。转载请注明来源 TeamsSix !
评论
  目录