SpringCloud Function SpEL註入 漏洞分析 ...
SpringCloud Function 介紹
SpringCloud 是一套分散式系統的解決方案,常見的還有阿裡巴巴的Dubbo,Fass(Function As A Service )的底層實現就是函數式編程,在視頻轉碼、音視頻轉換、數據倉庫ETL等與狀態相關度低的領域運用的比較多。開發者無需關註伺服器環境運維等問題上,專註於自身業務邏輯實現即可。
SpringCloud Function 就是Spring提供的分散式函數式編程組件。
漏洞環境搭建
通過idea新建一個Spring項目,pom中引入spring-boot-starter-web、spring-cloud-function-web,如下:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.5</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>SpringCloudDemo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>SpringCloudDemo</name>
<description>SpringCloudDemo</description>
<properties>
<java.version>1.8</java.version>
<spring-cloud.version>2021.0.1</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-web</artifactId>
<version>3.2.2</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>${spring-cloud.version}</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
</project>
其中spring-cloud-function-web的依賴如上圖,核心實現為spring-cloud-function-core包。
先在main函數中新建兩個方法(uppercase將字元串變為大寫,reverse字元串反轉):
當在pom中引入spring-cloud-function-web後,函數會自動添加為HTTP端點。
然後漏洞關鍵是在application.properties 或者yaml配置文件中新增一行:
spring.cloud.function.definition=functionRouter
這裡的屬性spring.cloud.function.definition 表示聲明式函數組合,這個功能允許在提供屬性時使用|(管道),或;(過濾)分隔符以聲明的方式提供組合指令。例如
--spring.cloud.function.definition=uppercase|reverse
舉例:
當配置該屬性為uppercase時,訪問根路徑提交的參數會自動被uppercase函數接受轉化為大寫:
反之若配置為reverse則預設路徑函數功能為反轉字元串:
通俗來講這個屬性就是一個預設路由, 可以手動指定相關函數,也可以使用functionRouter ,指定的方式可以是配置文件、環境變數或者啟動參數等。
functionRouter
如果設置為functionRouter則預設路由綁定的具體函數交由用戶進行控制,在 Spring Cloud Function Web裡面,可以通過設置http頭的方式來控制,使用spring.cloud.function.definition 和spring.cloud.function.routing-expression 都可以,區別是後者允許使用Spring表達式語言(SpEL)。
舉例:
因為spring.cloud.function.routing-expression 允許使用SpEL表達式,所以就可能存在SpEL註入。
SpEL註入
這裡簡單介紹下SpEL,Spring Expression Language 是Spring提供的具有方法調用和基本的字元串模版功能的套件。類似OGNL、MVEL、JBoss EL。
SpEL可以字元串之間進行嵌套也可以單獨使用,嵌套時使用#{}(實現ParserContext介面)。
舉例:
但因為Spel支持方法調用,所以如果使用的是StandardEvaluationContext 進行解析(預設),則可能會被濫用,如使用new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()可觸發命令執行:
漏洞復現
既然SpringCloud Function 中的functionRouter支持SpEL那是不是存在SpEL註入呢,我們在HTTP頭中插入上面調起計算器的SpEL表達式
Payload: spring.cloud.function.routing-expression: new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()
非常簡單粗暴,漏洞復現成功:
原理分析
在命令執行出下斷點,看下程式執行流程。
SpringCloud Function之所以能自動將函數建立http端點,是因為在包mvc.FunctionController中使用/** 監聽了get/post類型的所有端點。
- 當一個請求進入時,程式首先基於Springboot的自動配置,將配置文件註入到functionProperties,隨後將以“WebRequestConstants.handler”為key,function為值添加到request數組裡面。
- 請求正式進入Controller節點,Controller首先會將請求使用wrapper進行包裝,wrapper就是將request轉成FunctionInvocationWrapper 格式。
- 隨後進入processRequest 對request進行處理,執行function的apply方法,跳轉到doApply()時會對function進行判斷,判斷是不是functionRouter方法,根據咱們的配置文件此時的function為
RoutingFunction.FUNCTION_NAME既functionRouter所以會,一路跳轉到RoutingFunction.route
-
隨後進入else if 分支, http頭
spring.cloud.function.routing-expression不為空,則傳入其值到functionFromExpression方法。
-
使用標準的
StandardEvaluationContext對header的值進行SpEL表達式解析:
後續就不用再跟下去了,至此可以發現,只要通過環境變數、配置文件或者參數等方式配置為spring.cloud.function.definition=functionRouter 即可觸發SpEL註入。
補丁分析
SpringCloud官方已經修複了此問題(https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f)
和其他SpEL註入修複方式一樣,使用了SimpleEvaluationContext替換StandardEvaluationContext,那這個漏洞基本就算修複完成了。但因為這個commit還沒有納入版本,所以目前springcloud Function3.0以上版本仍然暴露在風險之中。
引用
- https://spring.io/projects/spring-cloud-function#overview
- https://cloud.spring.io/spring-cloud-function/reference/html/spring-cloud-function.html#_function_catalog_and_flexible_function_signatures
- https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
- http://itmyhome.com/spring/expressions.html
公眾號
歡迎大家關註我的公眾號,這裡有乾貨滿滿的硬核安全知識,和我一起學起來吧!
