java代码审计-表达式注入

0x01漏洞挖掘

spel

spel表达式有三种用法：

注解
```
@value("#{表达式}")
public String arg;
```
这种一般是写死在代码中的，不是关注的重点。
xml
```
<bean id="Bean1" class="com.test.xxx">
	<property name="arg" value="#{表达式}">
</bean>
```
这种情况通常也是写死在代码中的，但是也有已知的利用场景，就是利用反序列化让程序加载我们实现构造好的恶意xml文件，如jackson的CVE-2017-17485、weblogic的CVE-2019-2725等。

在代码中处理外部传入的表达式

这部分是关注的重点。

@RequestMapping("/spel")
public String spel(@RequestParam(name = "spel") String spel) {
    ExpressionParser expressionParser = new SpelExpressionParser();
    Expression expression = expressionParser.parseExpression(spel);
    Object object = expression.getValue();
    return object.toString();
}

漏洞可以利用的前置条件有三个：

传入的表达式为过滤
表达式解析之后调用了getValue/setValue方法
使用StandardEvaluationContext(默认)作为上下文对象

spel表达式功能非常强大，在漏洞利用方面主要使用这几个功能：

使用T(Type)表示Type类的实例,Type为全限定名称,如T(com.test.Bean1)。但是java.lang例外,该包下的类可以不指定包名。得到类实例后会访问类静态方法与字段。
```
T(java.lang.Runtime).getRuntime().exec("whoami")
```

直接通过java语法实例化对象、调用方法

new ProcessBuilder("whoami").start()

//可以利用反射来绕过一些过滤
#{''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',''.getClass()).invoke(''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(null),'calc')}

jexl

关于jexl，比较有代表性的就是前段时间Nexus的rce，Nexus Repository Manager 3 RCE 分析 -【CVE-2019-7238】文章在这，不再赘述。

其它

还有其它种类的表达式，如EL，不会轻易造成安全问题，暂时略过；OGNL表达式会在struts2相关的漏洞中详细说明。

0x02漏洞防御

最简单的方式，使用SimpleEvaluationContext作为上下文对象。

@RequestMapping("/spel")
public String spel(@RequestParam(name = "spel") String spel) {
    ExpressionParser expressionParser = new SpelExpressionParser();
    Expression expression = expressionParser.parseExpression(spel);
  	
  	//SimpleEvaluationContext减少了一部分功能，并在权限控制上进一步细化
  	//可以配置让spel表达式只能访问指定对象
  	Category category = new Category();
    EvaluationContext context = SimpleEvaluationContext.forReadOnlyDataBinding().withRootObject(category).build();
  
    Object object = expression.getValue();
    return object.toString();
}