代码审计 | 表达式注入
1、介绍
表达式语言(Expression Language)简称 EL 表达式,是一种 JSP 内置的语言。
在 JSP 中,使用 {} 来表示 EL 表达式,例如 {name} 表示获取 name 变量。
在 EL 表达式中有两种获取对象属性的方法,第一种为 {param.name},第二种为 {param[name]}
2、实例
使用实例
使用 param 对象获取用户传入的参数值,这里的 ${param.name} 相当于 request.getParameter(“name”)
<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
<title>EL 表达式实例页面</title>
</head>
<body>
<h3>输入的 name 值为:${param.name}</h3>
</body>
</html>
这样当我们访问 http://xxx:8080/xxx/?name=teamssix 的时候,页面就会返回「输入的 name 值为:teamssix」
EL 表达式也可以实例化 Java 的内置类,比如 Runtime.class 会执行系统命令
<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
<title>EL 表达式实例页面</title>
</head>
<body>
${Runtime.getRuntime().exec("calc")}
</body>
</html>
当执行该页面代码时,就可以看到计算器被弹出来了,不过前提是 Tomcat 被部署在 Windows 下,如果在 Linux 下则需要将 calc 换成其他命令,不然会报错 500
Spring 标签 EL 表达式漏洞(CVE-2011-2730)
在历史上出现过一个 Spring 标签 EL 表达式漏洞(CVE-2011-2730),Spring 表达式语言(SpEL)是一种与 EL 功能类似的表达式语言。
在未对用户的输入做严格检查并且错误的使用 Spring 表达式语言时就可能产生表达式注入漏洞。
在 SpEL 的 Evaluation 接口中,有两个实现方法,分别为 SimpleEvaluationContext 和 StandardEvaluationContext 方法,其中前者权限比较小,后者权限比较大,因此当使用 StandardEvaluation 方法时,就可以利用 Runtime.class 方法执行命令,例如以下代码:
import org.springframework.expression.EvaluationContext;
import org.springframework.expression.Expression;
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.spel.support.StandardEvaluationContext;
public class SpEL {
public static void mian(String[] args) {
String expressionstr = "T(Runtime).getRuntime().exec(\"open -a Calculator\")";
ExpressionParser parser = new SpelExpressionParser();
EvaluationContext evaluationContext = new StandardEvaluationContext();
Expression expression = parser.parseExpression(expressionstr);
System.out.println(expression.getValue(evaluationContext));
}
}
Spring Data Commons 远程代码执行漏洞(CVE-2018-1273)
对于 2018 年出的 Spring Data Commons RCE 漏洞,RT 可以通过构造 SpEL 表达式实现 RCE
通过观察官方补丁,可以发现正是将原来的 StandardEvaluationContext 方法换成了 SimpleEvaluationContext 方法。
补丁地址:https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
175 - StandardEvaluationContext context = new StandardEvaluationContext();
180 + EvaluationContext context = SimpleEvaluationContext
往期推荐 代码审计 | 命令注入和代码注入 代码审计 | SQL 注入 代码审计 | Java Web 过滤器 - filter
参考文章: https://blog.csdn.net/lup7in/article/details/8659408 https://misakikata.github.io/2018/09/%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/ 原文链接: https://www.teamssix.com/211129-180558.html
相关文章
- 代码审计 | 模板注入
- ASP+Access 手工注入
- Spring容器与依赖注入(DI)
- 可视化编程和低代码编程&面向切面编程和依赖注入
- 【Android 逆向】Android 进程注入工具开发 ( Visual Studio 开发 Android NDK 应用 | 使用 Makefile 构建 Android 平台 NDK 应用 )
- 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 注入工具的 main 函数分析 )
- 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取 远程 目标进程 中的 /system/lib/libc.so 动态库中的 mmap 函数地址 )
- 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取 linker 中的 dlopen 函数地址 并 通过 远程调用 执行该函数 )
- 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取注入的 libbridge.so 动态库中的 load 函数地址 并 通过 远程调用 执行该函数 )
- 如何使用dlinject将一个代码库实时注入到Linux进程中
- 爆肝200天!上海高中生自制机器人,250行代码“注入灵魂”
- 深入研究:利用手机MSSQL注入工具(手机mssql注入工具)
- Linux注入代码安全风险分析(linux 注入代码)
- MSSQL注入技术:打开知识库大门(mssql注入知识库)
- MSSQL注入:危害凶猛的网络攻击武器(mssql注入是啥)
- MSSQL注入攻击下的提权实战(mssql 注入提权)
- asp防止SQL注入代码
- PHP代码网站如何防范SQL注入漏洞攻击建议分享
- 数据库SqlParameter的插入操作,防止sql注入的实现代码
- 探讨php中防止SQL注入最好的方法是什么