FreeMarker 模板注入漏洞分析与利用<\/h1>

1. DataGear 简介<\/h2>

DataGear 是一款开源免费的数据可视化分析平台，具有以下特点：<\/p>

支持多种数据源：SQL、CSV、Excel、HTTP 接口、JSON等<\/li>
支持多种数据库：MySQL、Oracle、PostgreSQL、SQL Server等<\/li>
提供70+开箱即用的图表类型<\/li>

支持自定义HTML网页作为数据看板模板<\/li> <\/ul>

2. FreeMarker 模板注入漏洞原理<\/h2>

2.1 FreeMarker 的

new<\/code> 内置函数<\/h3>
FreeMarker 模板引擎中的 new<\/code> 关键字用于创建新的实例对象：<\/p>

可以实例化Java类<\/li>
可以在创建对象时直接调用构造函数初始化属性<\/li>
允许在模板中动态创建Java对象<\/li>
<\/ul>
2.2 危险内置类<\/h3>
FreeMarker 提供了几个危险的辅助类：<\/p>
2.2.1 freemarker.template.utility.ObjectConstruct<\/code><\/h4>

用于创建Java对象并转换为FreeMarker模板数据模型<\/li>
允许模板动态实例化对象<\/li>
<\/ul>
2.2.2 freemarker.template.utility.JythonRuntime<\/code><\/h4>

用于与Jython(基于Java的Python解释器)交互<\/li>
允许模板执行Python脚本<\/li>
<\/ul>
2.2.3 freemarker.template.utility.Execute<\/code><\/h4>

重写了Writer类的flush和close方法<\/li>
接收的字符序列会被附加到StringBuilder缓冲区<\/li>
调用flush时会执行缓冲区内容作为Python代码<\/li>
<\/ul>
2.3 利用方式<\/h3>
基于new<\/code>构建对象的三种payload：<\/p>


使用<#assign><\/code>标签定义变量：<\/p>
<#assign value="freemarker.template.utility.ObjectConstructor"?new()>
<\/code><\/pre>
<\/li>

使用JythonRuntime执行Python代码：<\/p>
<#assign value="freemarker.template.utility.JythonRuntime"?new()>
<\/code><\/pre>
<\/li>

使用Execute执行系统命令：<\/p>
<#assign value="freemarker.template.utility.Execute"?new()>
<\/code><\/pre>
<\/li>
<\/ol>
2.4 API 内置函数<\/h3>
api<\/code>内建函数用于调用Java API：<\/p>

允许模板访问和调用Java类及其方法<\/li>
可以获取当前对象的类加载器<\/li>
从FreeMarker 2.3.22开始默认禁用<\/li>
<\/ul>
示例payload：<\/p>
<#assign classLoader=object?api.class.protectionDomain.classLoader>
<\/code><\/pre>
3. 漏洞复现<\/h2>
3.1 漏洞位置<\/h3>
漏洞存在于DataGear的\/dataSet\/resolveSql<\/code>路由，对应代码位于：

org\/datagear\/web\/controller\/DataSetController.java<\/code><\/p>
3.2 漏洞触发流程<\/h3>

接收请求参数：通过@RequestBody<\/code>接收ResolveSqlParam<\/code>对象<\/li>
调用解析方法：将参数传递给resolveSqlTemplate<\/code>方法进行SQL解析<\/li>
SQL解析过程：

DataSetFmkTemplateResolvers.SQL.resolve<\/code>解析SQL语句<\/li>
SQL查询语句作为实例化TemplateContext<\/code>的参数<\/li>
通过getValues<\/code>获取模板内容并解析<\/li>
将模板封装在templateObj<\/code>对象中<\/li>
调用process<\/code>方法解析value<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 命令执行<\/h3>
在模板解析过程中，当循环到最内层内容时，会执行注入的命令，并将执行结果作为模板渲染的结果返回。<\/p>
4. 漏洞利用示例<\/h2>
4.1 环境搭建<\/h3>

下载DataGear源码：https:\/\/gitee.com\/datagear\/datagear<\/li>
导入IDEA，使用Maven构建<\/li>
创建数据库并启动应用<\/li>
<\/ol>
4.2 执行系统命令<\/h3>
使用以下payload可以执行任意系统命令：<\/p>
<#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("cmd \/c whoami") }
<\/code><\/pre>
成功执行后会返回命令执行结果。<\/p>
5. 漏洞分析<\/h2>
5.1 关键代码分析<\/h3>


DataSetController.java<\/code>中的resolveSql<\/code>方法：<\/p>
public<\/span> String resolveSql<\/span>(<\/span>@RequestBody<\/span> ResolveSqlParam resolveSqlParam)<\/span>
<\/span><\/span><\/code><\/pre><\/li>

resolveSqlTemplate<\/code>方法：<\/p>
private<\/span> String resolveSqlTemplate<\/span>(<\/span>String sql,<\/span> Map<<\/span>String,<\/span> Object><\/span> paramValues,<\/span> List<<\/span>DataSetParam><\/span> dataSetParams)<\/span>
<\/span><\/span><\/code><\/pre><\/li>

模板解析过程：<\/p>
TemplateContext templateContext =<\/span> new<\/span> TemplateContext(<\/span>sql,<\/span> paramValues,<\/span> dataSetParams);<\/span>
<\/span><\/span>return<\/span> DataSetFmkTemplateResolvers.<\/span>SQL<\/span>.<\/span>resolve<\/span>(<\/span>templateContext);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
5.2 安全建议<\/h3>

升级FreeMarker到最新版本<\/li>
禁用危险的内置函数和类<\/li>
对用户输入进行严格的过滤和验证<\/li>
使用沙箱环境限制模板的执行权限<\/li>
<\/ol>
6. 总结<\/h2>
DataGear中的FreeMarker模板注入漏洞源于对用户输入的不当处理，攻击者可以通过构造特殊的模板表达式实现任意命令执行。开发人员应当重视模板引擎的安全配置，避免直接使用用户输入作为模板内容。<\/p>

FreeMarker 模板注入漏洞分析与利用<\/h1>

2. FreeMarker 模板注入漏洞原理<\/h2>

2.2 危险内置类<\/h3> FreeMarker 提供了几个危险的辅助类：<\/p>

3. 漏洞复现<\/h2>

3.1 漏洞位置<\/h3> 漏洞存在于DataGear的\/dataSet\/resolveSql<\/code>路由，对应代码位于： org\/datagear\/web\/controller\/DataSetController.java<\/code><\/p>

3.3 命令执行<\/h3> 在模板解析过程中，当循环到最内层内容时，会执行注入的命令，并将执行结果作为模板渲染的结果返回。<\/p>

4. 漏洞利用示例<\/h2>

5. 漏洞分析<\/h2>

6. 总结<\/h2> DataGear中的FreeMarker模板注入漏洞源于对用户输入的不当处理，攻击者可以通过构造特殊的模板表达式实现任意命令执行。开发人员应当重视模板引擎的安全配置，避免直接使用用户输入作为模板内容。<\/p>

2.2 危险内置类<\/h3>
FreeMarker 提供了几个危险的辅助类：<\/p>

3.1 漏洞位置<\/h3>
漏洞存在于DataGear的`\/dataSet\/resolveSql<\/code>路由，对应代码位于： org\/datagear\/web\/controller\/DataSetController.java<\/code><\/p>`

3.3 命令执行<\/h3>
在模板解析过程中，当循环到最内层内容时，会执行注入的命令，并将执行结果作为模板渲染的结果返回。<\/p>

6. 总结<\/h2>
DataGear中的FreeMarker模板注入漏洞源于对用户输入的不当处理，攻击者可以通过构造特殊的模板表达式实现任意命令执行。开发人员应当重视模板引擎的安全配置，避免直接使用用户输入作为模板内容。<\/p>