Spel Attack

0x01 What Is SpEL

SpEL:Spring Expression Language 一种表达式语言,支持在运行时查询和操作对象图,类似于EL表达式。

SpEL 的诞生是为了给 Spring 社区提供一种能够与Spring 生态系统所有产品无缝对接,能提供一站式支持的表达式语言。

SpEL基本语法: SpEL使用 #{...}作为定界符,大括号内被视为SpEL表达式,里面可以使用运算符,变量,调用方法等。使用 T() 运算符会调用类作用域的方法和常量,如#{T(java.lang.Math)}返回一个java.lang.Math类对象

#{}${}的区别:

  • #{} 用于执行SpEl表达式,并将内容赋值给属性

  • ${} 主要用于加载外部属性文件中的值

SpEL常用在三个地方。

  1. Value注解 (注:这个类要通过依赖注入才能使Value注解生效,直接new对象是不行的)

    package com.example.demo1.bean;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.PropertySource;
import org.springframework.stereotype.Component;

@Component
@PropertySource({"classpath:/configure.properties"})
public class User {
    @Value("${spring.user.name}")
    public String userName; // 值来自application.properties
    @Value("${home.dorm}")
    public String address; // 值来自configure.properties(放在resources文件夹下)
    @Value("#{T(java.lang.Math).random()}")
    public double age;
    @Value("#{systemProperties['os.name']}")
    public String sys; // 注入操作系统属性
}
    // configure.properties
home.dorm=Room402,Unit4,Building3,No.34.LousyLoad
// application.properti
spring.user.name=Taco

    输出如下: User{userName='Taco', address='Room402,Unit4,Building3,No.34.LousyLoad', age=0.5913714334107036, sys='Windows 10'}

  2. XML

    <bean id="Book" class="com.example.bean">
	<property name="author" value="#{表达式}">
</bean>

  3. Expression接口

    @Test
public void spelTest() {
    ExpressionParser parser = new SpelExpressionParser();
    Expression expression = parser.parseExpression("('Hello '+'SpEL').concat(#end)");
    EvaluationContext context = new StandardEvaluationContext();
    context.setVariable("end", "!");
    System.out.println(expression.getValue(context));
}

    输出Hello SpEL!

0x02 Way To Attack

实际情况下,一般都是基于上面第三种SpEL的使用场景出现的漏洞。 下面简单分析一下SpEL在求表达式值的过程

1.创建解析器 new SpelExpressionParser() 2.解析表达式 parseExpression(your_expression) 3.构造上下文 new StandardEvaluationContext() 默认为这个 4.求值 expression.getValue(context)

漏洞利用前提

1.服务器接收用户输入的表达式 2.表达式解析之后调用了getValue 3.使用StandardEvaluationContext作为上下文对象

这段代码中,可注入的点在请求参数cmd 访问http://localhost:8080/spel?cmd=T(java.lang.Runtime).getRuntime().exec(%27calc%27) 成功弹出计算器

0x03 Injection Tricks

一些trivial的payload

命令执行带返回结果的:

利用js引擎可以实现更加复杂的操作,如注入内存马

这里利用的是UnsafedefineClass加载字节码

实际上Spring框架中org.springframework.cglib.core.ReflectUtils就提供了一系列反射有关的方法,其中就包括了字节码加载defineClass

高版本JDK(>=9)引入了命名模块机制,java.*下的非公开变量和方法不能被其他模块直接访问,JDK11还只会提示warning,而在JDK17中会强制开启,直接报错

上面的payload执行后会报错

java.lang.reflect.InaccessibleObjectException: Unable to make protected final java.lang.Class java.lang.ClassLoader.defineClass(java.lang.String,byte[],int,int,java.security.ProtectionDomain) throws java.lang.ClassFormatError accessible: module java.base does not "opens java.lang" to unnamed module @635eaaf1

image-20240517132913363

java.lang.ClassLoader#defineClass不是公开方法,无法被其他模块访问

当然Spring也提供了相应的解决方案,就是利用方法句柄的API来定义类

MethodHandles$Lookup#defineClass(JDK8中没有这个方法)要求定义的类需要和Lookup对象的目标类的package一致才行。这里的目标类就是传入ReflectionUtils#defineClass的上下文类contextClass

随便选了org.springframework.expression下的一个类ExpressionParser

0x04 CVE To Study

  • CVE-2022-22980 Spring Data MongoDB SpEL表达式注入

  • CVE-2022-22963 SpringCloud Function SpEL表达式注入

  • CVE-2022-22947 Spring Cloud Gateway 远程代码执行

0x05 Patch

SimpleEvaluationContextStandardEvaluationContext 是 SpEL提供的两个 EvaluationContext

SimpleEvaluationContext 旨在仅支持 SpEL 语言语法的一个子集。它不包括 Java 类型引用,构造函数和 bean 引用

SimpleEvaluationContext替换默认的StandardEvaluationContext,就能有效防止恶意SpEL表达式的执行。

PreviousEl AttackNextC3P0原生反序列化的JNDI打法

Last updated

Was this helpful?