SpringCloud Function SpEL注入漏洞分析及环境搭建


Posted in Java/Android onApril 08, 2022

SpringCloud Function 介绍

SpringCloud 是一套分布式系统的解决方案,常见的还有阿里巴巴的Dubbo,Fass(Function As A Service )的底层实现就是函数式编程,在视频转码、音视频转换、数据仓库ETL等与状态相关度低的领域运用的比较多。开发者无需关注服务器环境运维等问题上,专注于自身业务逻辑实现即可。

SpringCloud Function 就是Spring提供的分布式函数式编程组件。

SpringCloud Function SpEL注入漏洞分析及环境搭建

漏洞环境搭建

通过idea新建一个Spring项目,pom中引入spring-boot-starter-webspring-cloud-function-web,如下:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>SpringCloudDemo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>SpringCloudDemo</name>
    <description>SpringCloudDemo</description>
    <properties>
        <java.version>1.8</java.version>
        <spring-cloud.version>2021.0.1</spring-cloud.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-function-web</artifactId>
            <version>3.2.2</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>
    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>${spring-cloud.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>
</project>

SpringCloud Function SpEL注入漏洞分析及环境搭建

其中spring-cloud-function-web的依赖如上图,核心实现为spring-cloud-function-core包。

先在main函数中新建两个方法(uppercase将字符串变为大写,reverse字符串反转):

SpringCloud Function SpEL注入漏洞分析及环境搭建

当在pom中引入spring-cloud-function-web后,函数会自动添加为HTTP端点。

然后漏洞关键是在application.properties 或者yaml配置文件中新增一行:

spring.cloud.function.definition=functionRouter

这里的属性spring.cloud.function.definition 表示声明式函数组合,这个功能允许在提供属性时使用|(管道),;(过滤)分隔符以声明的方式提供组合指令。例如

--spring.cloud.function.definition=uppercase|reverse

举例:

当配置该属性为uppercase时,访问根路径提交的参数会自动被uppercase函数接受转化为大写:

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

反之若配置为reverse则默认路径函数功能为反转字符串:

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

通俗来讲这个属性就是一个默认路由, 可以手动指定相关函数,也可以使用functionRouter ,指定的方式可以是配置文件、环境变量或者启动参数等。

functionRouter

如果设置为functionRouter则默认路由绑定的具体函数交由用户进行控制,在 Spring Cloud Function Web里面,可以通过设置http头的方式来控制,使用spring.cloud.function.definitionspring.cloud.function.routing-expression 都可以,区别是后者允许使用Spring表达式语言(SpEL)。

举例:

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

因为spring.cloud.function.routing-expression 允许使用SpEL表达式,所以就可能存在SpEL注入。

SpEL注入

这里简单介绍下SpEL,Spring Expression Language 是Spring提供的具有方法调用和基本的字符串模版功能的套件。类似OGNL、MVEL、JBoss EL。

SpEL可以字符串之间进行嵌套也可以单独使用,嵌套时使用#{}(实现ParserContext接口)。

举例:

SpringCloud Function SpEL注入漏洞分析及环境搭建

但因为Spel支持方法调用,所以如果使用的是StandardEvaluationContext 进行解析(默认),则可能会被滥用,如使用new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()可触发命令执行:

SpringCloud Function SpEL注入漏洞分析及环境搭建

漏洞复现

既然SpringCloud Function 中的functionRouter支持SpEL那是不是存在SpEL注入呢,我们在HTTP头中插入上面调起计算器的SpEL表达式

Payload: spring.cloud.function.routing-expression: new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()

非常简单粗暴,漏洞复现成功:

SpringCloud Function SpEL注入漏洞分析及环境搭建

原理分析

在命令执行出下断点,看下程序执行流程。

SpringCloud Function之所以能自动将函数建立http端点,是因为在包mvc.FunctionController中使用/** 监听了get/post类型的所有端点。

SpringCloud Function SpEL注入漏洞分析及环境搭建

1.当一个请求进入时,程序首先基于Springboot的自动配置,将配置文件注入到functionProperties,随后将以“WebRequestConstants.handler”为key,function为值添加到request数组里面。

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

2.请求正式进入Controller节点,Controller首先会将请求使用wrapper进行包装,wrapper就是将request转成FunctionInvocationWrapper 格式。

SpringCloud Function SpEL注入漏洞分析及环境搭建

3.随后进入processRequest 对request进行处理,执行function的apply方法,跳转到doApply()时会对function进行判断,判断是不是functionRouter方法,根据咱们的配置文件此时的function为RoutingFunction.FUNCTION_NAMEfunctionRouter所以会,一路跳转到RoutingFunction.route

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

5.随后进入else if 分支,http头spring.cloud.function.routing-expression 不为空,则传入其值到functionFromExpression方法。

SpringCloud Function SpEL注入漏洞分析及环境搭建

6.使用标准的StandardEvaluationContext 对header的值进行SpEL表达式解析:

SpringCloud Function SpEL注入漏洞分析及环境搭建

SpringCloud Function SpEL注入漏洞分析及环境搭建

后续就不用再跟下去了,至此可以发现,只要通过环境变量、配置文件或者参数等方式配置为spring.cloud.function.definition=functionRouter 即可触发SpEL注入。

补丁分析

SpringCloud官方已经修复了此问题(https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f)

和其他SpEL注入修复方式一样,使用了SimpleEvaluationContext替换StandardEvaluationContext,那这个漏洞基本就算修复完成了。但因为这个commit还没有纳入版本,所以目前springcloud Function3.0以上版本仍然暴露在风险之中。

SpringCloud Function SpEL注入漏洞分析及环境搭建

引用

https://spring.io/projects/spring-cloud-function#overview
https://cloud.spring.io/spring-cloud-function/reference/html/spring-cloud-function.html#_function_catalog_and_flexible_function_signatures
https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
http://itmyhome.com/spring/expressions.html

到此这篇关于SpringCloud Function SpEL注入漏洞分析的文章就介绍到这了,更多相关SpringCloud Function SpEL注入漏洞分析内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Java/Android 相关文章推荐
SpringBoot2 参数管理实践之入参出参与校验的方式
Jun 16 Java/Android
java中重写父类方法加不加@Override详解
Jun 21 Java/Android
Java如何实现树的同构?
Jun 22 Java/Android
Springboot使用Spring Data JPA实现数据库操作
Jun 30 Java/Android
springboot中rabbitmq实现消息可靠性机制详解
Sep 25 Java/Android
深入解读Java三大集合之map list set的用法
Nov 11 Java/Android
Spring依赖注入多种类型数据的示例代码
Mar 31 Java/Android
Java的Object类的九种方法
Apr 13 Java/Android
带你了解Java中的ForkJoin
Apr 28 Java/Android
Android 中的类文件和类加载器详情
Jun 05 Java/Android
一文搞懂Java中的注解和反射
Jun 21 Java/Android
Java实现字符串转为驼峰格式的方法详解
Jul 07 Java/Android
SpringBoot中获取profile的方法详解
Apr 08 #Java/Android
教你在 Java 中实现 Dijkstra 最短路算法的方法
Java 垃圾回收超详细讲解记忆集和卡表
Java 常见的限流算法详细分析并实现
Java 超详细讲解ThreadLocal类的使用
Java 通过手写分布式雪花SnowFlake生成ID方法详解
Java详细解析==和equals的区别
Apr 07 #Java/Android
You might like
PHP 之Section与Cookie使用总结
2012/09/14 PHP
php遍历目录与文件夹的多种方法详解
2013/11/14 PHP
php获取bing每日壁纸示例分享
2014/02/25 PHP
PHP处理SQL脚本文件导入到MySQL的代码实例
2014/03/17 PHP
用 Composer构建自己的 PHP 框架之基础准备
2014/10/30 PHP
基于php的CMS中展示文章类实例分析
2015/06/18 PHP
推荐dojo学习笔记
2007/03/24 Javascript
使用 JScript 创建 .exe 或 .dll 文件的方法
2011/07/13 Javascript
使用JavaScript修改浏览器URL地址栏的实现代码
2013/10/21 Javascript
JavaScript实现多维数组的方法
2013/11/20 Javascript
javascript 动态创建表格
2015/01/08 Javascript
JavaScript获取一个范围内日期的方法
2015/04/24 Javascript
Bootstrap选项卡学习笔记分享
2017/02/13 Javascript
JS之if语句对接事件动作逻辑(详解)
2017/06/28 Javascript
详解用webpack把我们的业务模块分开打包的方法
2017/07/20 Javascript
Angular服务Request异步请求的实例讲解
2018/08/13 Javascript
React性能优化系列之减少props改变的实现方法
2019/01/17 Javascript
深入理解使用Vue实现Context-Menu的思考与总结
2019/03/09 Javascript
js设置鼠标悬停改变背景色实现详解
2019/06/26 Javascript
深入理解 TypeScript Reflect Metadata
2019/12/12 Javascript
Python备份目录及目录下的全部内容的实现方法
2016/06/12 Python
Python安装官方whl包和tar.gz包的方法(推荐)
2017/06/04 Python
python利用MethodType绑定方法到类示例代码
2017/08/27 Python
Python+树莓派+YOLO打造一款人工智能照相机
2018/01/02 Python
Python操作MySQL数据库的两种方式实例分析【pymysql和pandas】
2019/03/18 Python
CentOS6.9 Python环境配置(python2.7、pip、virtualenv)
2019/05/06 Python
python 并发编程 阻塞IO模型原理解析
2019/08/20 Python
python操作yaml说明
2020/04/08 Python
CSS改变网页中鼠标选中文字背景颜色例子
2014/04/23 HTML / CSS
欧洲顶级的童装奢侈品购物网站:Bambini Fashion(面向全球)
2018/04/24 全球购物
美国礼品卡交易网站:Cardpool
2018/08/27 全球购物
采购主管的岗位职责
2013/12/17 职场文书
优秀员工获奖感言
2014/03/01 职场文书
房屋出租委托书格式
2014/09/23 职场文书
2015暑假假期总结
2015/07/13 职场文书
Go语言操作数据库及其常规操作的示例代码
2021/04/21 Golang