一、SpEL 表達(dá)式注入

Spring Expression Language(簡(jiǎn)稱(chēng) SpEL)是一種功能強(qiáng)大的表達(dá)式語(yǔ)言、用于在運(yùn)行時(shí)查詢(xún)和操作對(duì)象圖;語(yǔ)法上類(lèi)似于 Unified EL，但提供了更多的特性，特別是方法調(diào)用和基本字符串模板函數(shù)。SpEL 的誕生是為了給 Spring 社區(qū)提供一種能夠與 Spring 生態(tài)系統(tǒng)所有產(chǎn)品無(wú)縫對(duì)接，能提供一站式支持的表達(dá)式語(yǔ)言。

二、SpEL 表達(dá)式

• 基本表達(dá)式：字面量表達(dá)式、關(guān)系，邏輯與算數(shù)運(yùn)算表達(dá)式、字符串鏈接及截取表達(dá)式、三目運(yùn)算、正則表達(dá)式以及括號(hào)優(yōu)先級(jí)表達(dá)式;
• 類(lèi)相關(guān)表達(dá)式：類(lèi)類(lèi)型表達(dá)式、類(lèi)實(shí)例化、instanceof 表達(dá)式、變量定義及引用、賦值表達(dá)式、自定義函數(shù)、對(duì)象屬性存取及安全導(dǎo)航表達(dá)式、對(duì)象方法調(diào)用、Bean 引用;
• 集合相關(guān)表達(dá)式：內(nèi)聯(lián) List、內(nèi)聯(lián)數(shù)組、集合、字典訪(fǎng)問(wèn)、列表、字典;
• 其他表達(dá)式：模版表達(dá)式

三、SpEL 基礎(chǔ)

在 pom.xml 導(dǎo)入 maven 或是把”org.springframework.expression-3.0.5.RELEASE.jar”添加到類(lèi)路徑中

<properties> 
    <org.springframework.version>5.0.8.RELEASE</org.springframework.version> 
</properties> 
<dependency> 
      <groupId>org.springframework</groupId> 
      <artifactId>spring-expression</artifactId> 
      <version>${org.springframework.version}</version> 
</dependency> 

1. SpEL 使用方式

SpEL 在求表達(dá)式值時(shí)一般分為四步，其中第三步可選：首先構(gòu)造一個(gè)解析器，其次解析器解析字符串表達(dá)式，在此構(gòu)造上下文，然后根據(jù)上下文得到表達(dá)式運(yùn)算后的值。

ExpressionParser parser = new SpelExpressionParser(); 
Expression expression = parser.parseExpression("('Hello' + ' freebuf').concat(#end)"); 
EvaluationContext context = new StandardEvaluationContext(); 
context.setVariable("end", "!"); 
System.out.println(expression.getValue(context)); 

• 創(chuàng)建解析器：SpEL 使用 ExpressionParser 接口表示解析器，提供 SpelExpressionParser 默認(rèn)實(shí)現(xiàn);
• 解析表達(dá)式：使用 ExpressionParser 的 parseExpression 來(lái)解析相應(yīng)的表達(dá)式為 Expression 對(duì)象。
• 構(gòu)造上下文：準(zhǔn)備比如變量定義等等表達(dá)式需要的上下文數(shù)據(jù)。
• 求值：通過(guò) Expression 接口的 getValue 方法根據(jù)上下文獲得表達(dá)式值。

2. SpEL 主要接口

1.ExpressionParser 接口：表示解析器，默認(rèn)實(shí)現(xiàn)是 org.springframework.expression.spel.standard 包中的 SpelExpressionParser 類(lèi)，使用 parseExpression 方法將字符串表達(dá)式轉(zhuǎn)換為 Expression 對(duì)象，對(duì)于 ParserContext 接口用于定義字符串表達(dá)式是不是模板，及模板開(kāi)始與結(jié)束字符;

public interface ExpressionParser {   
    Expression parseExpression(String expressionString);   
    Expression parseExpression(String expressionString, ParserContext context);   
} 

事例 demo：

ExpressionParser parser = new SpelExpressionParser(); 
ParserContext parserContext = new ParserContext() { 
    @Override 
    public boolean isTemplate() { 
    return true; 
    } 
    @Override 
    public String getExpressionPrefix() { 
    return "#{"; 
    } 
    @Override 
    public String getExpressionSuffix() { 
    return "}"; 
    } 
}; 
String template = "#{'hello '}#{'freebuf!'}"; 
Expression expression = parser.parseExpression(template, parserContext); 
System.out.println(expression.getValue()); 

演示的是使用 ParserContext 的情況，此處定義了 ParserContext 實(shí)現(xiàn)：定義表達(dá)式是模塊，表達(dá)式前綴為「#{」，后綴為「}」;使用 parseExpression 解析時(shí)傳入的模板必須以「#{」開(kāi)頭，以「}」結(jié)尾。

默認(rèn)傳入的字符串表達(dá)式不是模板形式，如之前演示的 Hello World。

• EvaluationContext 接口：表示上下文環(huán)境，默認(rèn)實(shí)現(xiàn)是 org.springframework.expression.spel.support 包中的 StandardEvaluationContext 類(lèi)，使用 setRootObject 方法來(lái)設(shè)置根對(duì)象，使用 setVariable 方法來(lái)注冊(cè)自定義變量，使用 registerFunction 來(lái)注冊(cè)自定義函數(shù)等等。
• Expression 接口：表示表達(dá)式對(duì)象，默認(rèn)實(shí)現(xiàn)是 org.springframework.expression.spel.standard 包中的 SpelExpression，提供 getValue 方法用于獲取表達(dá)式值，提供 setValue 方法用于設(shè)置對(duì)象值。

3. SpEL 語(yǔ)法 – 類(lèi)相關(guān)表達(dá)式

類(lèi)類(lèi)型表達(dá)式：使用”T(Type)”來(lái)表示 java.lang.Class 實(shí)例，”Type”必須是類(lèi)全限定名，”java.lang”包除外，即該包下的類(lèi)可以不指定包名;使用類(lèi)類(lèi)型表達(dá)式還可以進(jìn)行訪(fǎng)問(wèn)類(lèi)靜態(tài)方法及類(lèi)靜態(tài)字段。

具體使用方法：

ExpressionParser parser = new SpelExpressionParser(); 
        // java.lang 包類(lèi)訪(fǎng)問(wèn) 
Class<String> result1 = parser.parseExpression("T(String)").getValue(Class.class); 
System.out.println(result1); 
        //其他包類(lèi)訪(fǎng)問(wèn) 
String expression2 = "T(java.lang.Runtime).getRuntime().exec('open /Applications/Calculator.app')"; 
Class<Object> result2 = parser.parseExpression(expression2).getValue(Class.class); 
System.out.println(result2); 
        //類(lèi)靜態(tài)字段訪(fǎng)問(wèn) 
int result3 = parser.parseExpression("T(Integer).MAX_VALUE").getValue(int.class); 
System.out.println(result3); 
        //類(lèi)靜態(tài)方法調(diào)用 
int result4 = parser.parseExpression("T(Integer).parseInt('1')").getValue(int.class); 
System.out.println(result4); 

• 類(lèi)實(shí)例化：類(lèi)實(shí)例化同樣使用 java 關(guān)鍵字「new」，類(lèi)名必須是全限定名，但 java.lang 包內(nèi)的類(lèi)型除外，如 String、Integer。
• instanceof 表達(dá)式：SpEL 支持 instanceof 運(yùn)算符，跟 Java 內(nèi)使用同義;如”‘haha’ instanceof T(String)”將返回 true。
• 變量定義以及引用：變量定義通過(guò) EvaluationContext 接口的 setVariable(variableName, value) 方法定義;在表達(dá)式中使用”#variableName”引用;除了引用自定義變量，SpE 還允許引用根對(duì)象及當(dāng)前上下文對(duì)象，使用”#root”引用根對(duì)象，使用”#this”引用當(dāng)前上下文對(duì)象;
• 自定義函數(shù)：目前只支持類(lèi)靜態(tài)方法注冊(cè)為自定義函數(shù);SpEL 使用 StandardEvaluationContext 的 registerFunction 方法進(jìn)行注冊(cè)自定義函數(shù)，其實(shí)完全可以使用 setVariable 代替，兩者其實(shí)本質(zhì)是一樣的

四、審計(jì)過(guò)程

這里拿 Spring Message 遠(yuǎn)程命令執(zhí)行漏洞來(lái)作為例子

1. 環(huán)境搭建

git clone https://github.com/spring-guides/gs-messaging-stomp-websocket 
git checkout 6958af0b02bf05282673826b73cd7a85e84c12d3 

拿到項(xiàng)目代碼，全局搜索一下 org.springframework.expression.spel.standard，發(fā)現(xiàn) DefaultSubscriptionRegistry.java 文件處有導(dǎo)入。

再搜索一下 SpelExpressionParser

往下跟進(jìn)發(fā)現(xiàn)如下關(guān)鍵代碼，具體分析看代碼注釋

@Override 
protected void addSubscriptionInternal( 
String sessionId, String subsId, String destination, Message<?> message) { 
Expression expression = null; 
MessageHeaders headers = message.getHeaders(); 
        // 這里可以看出 SpEL 表達(dá)式 expression 是從 headers 中的 selector 字段中取出來(lái) 
String selector = SimpMessageHeaderAccessor.getFirstNativeHeader(getSelectorHeaderName(), headers); 
if (selector != null) { 
try { 
                //生成 expression 對(duì)象 
expression = this.expressionParser.parseExpression(selector); 
this.selectorHeaderInUse = true; 
if (logger.isTraceEnabled()) { 
logger.trace("Subscription selector: [" + selector + "]"); 
} 
} 
catch (Throwable ex) { 
if (logger.isDebugEnabled()) { 
logger.debug("Failed to parse selector: " + selector, ex); 
} 
} 
} 
        // expression 傳入 addSubscription 這個(gè)函數(shù)里面，即存放在 this.subscriptionRegistry 
this.subscriptionRegistry.addSubscription(sessionId, subsId, destination, expression); 
this.destinationCache.updateAfterNewSubscription(destination, sessionId, subsId); 
} 

再搜索一下 this.subscriptionRegistry，看看有沒(méi)有調(diào)用傳進(jìn)去的 expression。

然后發(fā)現(xiàn)了!

在這里調(diào)用了 this.subscriptionRegistry.getSubscriptions(sessionId) 并從中取出 info->sub-> expression。

最關(guān)鍵的是，這里直接調(diào)用了 expression.getValue()!這說(shuō)明如果能控制 SpEL 的表達(dá)式，就能直接命令執(zhí)行!

再來(lái)看看這個(gè) filterSubscriptions 函數(shù)在哪里調(diào)用。從函數(shù)的調(diào)用回溯追蹤調(diào)用鏈如下：

filterSubscriptions -> findSubscriptionsInternal -> findSubscriptions -> sendMessageToSubscribers 

2. sendMessageToSubscribers 即發(fā)送消息的功能

回顧一下整個(gè)流程，SpEL 表達(dá)式從 headers 中 selector 獲取，即發(fā)送請(qǐng)求時(shí)添加 selector 到請(qǐng)求的 header 即可傳入，然后生成 expression 對(duì)象傳入 this.subscriptionRegistry，然后當(dāng)發(fā)送消息的時(shí)候，最終會(huì)直接從 this.subscriptionRegistry 取出并調(diào)用 expression.getValue() 執(zhí)行我們傳入的 SpEL 表達(dá)式。

驗(yàn)證過(guò)程，在 expression.getValue() 這里打個(gè)斷點(diǎn)，看看發(fā)送消息是否會(huì)攔截并查看調(diào)用鏈?zhǔn)欠袢缟鲜龇治鲆粯印?/p>

Bingo!

簡(jiǎn)單總結(jié)一下 SpEL 表達(dá)式注入的分析思路，可以先全局搜索 org.springframework.expression.spel.standard, 或是 expression.getValue()、expression.setValue()，定位到具體漏洞代碼，再分析傳入的參數(shù)能不能利用，然后再追蹤參數(shù)來(lái)源，看看是否可控。Spring Data Commons Remote Code Execution 的 SpEL 注入導(dǎo)致的代碼執(zhí)行同樣可以用類(lèi)似的思路分析。

五、漏洞修復(fù)

SimpleEvaluationContext、StandardEvaluationContext 是 SpEL 提供的兩個(gè) EvaluationContext：

• SimpleEvaluationContext - 針對(duì)不需要 SpEL 語(yǔ)言語(yǔ)法的全部范圍并且應(yīng)該受到有意限制的表達(dá)式類(lèi)別，公開(kāi) Spal 語(yǔ)言特性和配置選項(xiàng)的子集。
• StandardEvaluationContext - 公開(kāi)全套 SpEL 語(yǔ)言功能和配置選項(xiàng)。您可以使用它來(lái)指定默認(rèn)的根對(duì)象并配置每個(gè)可用的評(píng)估相關(guān)策略。

SimpleEvaluationContext 旨在僅支持 SpEL 語(yǔ)言語(yǔ)法的一個(gè)子集。它不包括 Java 類(lèi)型引用，構(gòu)造函數(shù)和 bean 引用;所以最直接的修復(fù)方式是使用 SimpleEvaluationContext 替換 StandardEvaluationContext。

這是我個(gè)人學(xué)習(xí)代碼審計(jì)過(guò)程中的小總結(jié)，可能邏輯性相對(duì)來(lái)說(shuō)沒(méi)那么嚴(yán)謹(jǐn)，但是個(gè)人覺(jué)得這是一個(gè)比較通俗易懂的分析方法，不喜勿噴。