SpringCloud Function 介紹
SpringCloud 是一套分布式系統的解決方案,常見的還有阿里巴巴的Dubbo,Fass(Function As A Service )的底層實作就是函式式編程,在視頻轉碼、音視頻轉換、資料倉庫ETL等與狀態相關度低的領域運用的比較多,開發者無需關注服務器環境運維等問題上,專注于自身業務邏輯實作即可,
SpringCloud Function 就是Spring提供的分布式函式式編程組件,
漏洞環境搭建
通過idea新建一個Spring專案,pom中引入spring-boot-starter-web、spring-cloud-function-web,如下:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.5</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>SpringCloudDemo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>SpringCloudDemo</name>
<description>SpringCloudDemo</description>
<properties>
<java.version>1.8</java.version>
<spring-cloud.version>2021.0.1</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-web</artifactId>
<version>3.2.2</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>${spring-cloud.version}</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
</project>
其中spring-cloud-function-web的依賴如上圖,核心實作為spring-cloud-function-core包,
先在main函式中新建兩個方法(uppercase將字串變為大寫,reverse字串反轉):
當在pom中引入spring-cloud-function-web后,函式會自動添加為HTTP端點,
然后漏洞關鍵是在application.properties 或者yaml組態檔中新增一行:
spring.cloud.function.definition=functionRouter
這里的屬性spring.cloud.function.definition 表示宣告式函陣列合,這個功能允許在提供屬性時使用|(管道),或;(過濾)分隔符以宣告的方式提供組合指令,例如
--spring.cloud.function.definition=uppercase|reverse
舉例:
當配置該屬性為uppercase時,訪問根路徑提交的引數會自動被uppercase函式接受轉化為大寫:
反之若配置為reverse則默認路徑函式功能為反轉字串:
通俗來講這個屬性就是一個默認路由, 可以手動指定相關函式,也可以使用functionRouter ,指定的方式可以是組態檔、環境變數或者啟動引數等,
functionRouter
如果設定為functionRouter則默認路由系結的具體函式交由用戶進行控制,在 Spring Cloud Function Web里面,可以通過設定http頭的方式來控制,使用spring.cloud.function.definition 和spring.cloud.function.routing-expression 都可以,區別是后者允許使用Spring運算式語言(SpEL),
舉例:
因為spring.cloud.function.routing-expression 允許使用SpEL運算式,所以就可能存在SpEL注入,
SpEL注入
這里簡單介紹下SpEL,Spring Expression Language 是Spring提供的具有方法呼叫和基本的字串模版功能的套件,類似OGNL、MVEL、JBoss EL,
SpEL可以字串之間進行嵌套也可以單獨使用,嵌套時使用#{}(實作ParserContext介面),
舉例:
但因為Spel支持方法呼叫,所以如果使用的是StandardEvaluationContext 進行決議(默認),則可能會被濫用,如使用new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()可觸發命令執行:
漏洞復現
既然SpringCloud Function 中的functionRouter支持SpEL那是不是存在SpEL注入呢,我們在HTTP頭中插入上面調起計算器的SpEL運算式
Payload: spring.cloud.function.routing-expression: new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()
非常簡單粗暴,漏洞復現成功:
原理分析
在命令執行出下斷點,看下程式執行流程,
SpringCloud Function之所以能自動將函式建立http端點,是因為在包mvc.FunctionController中使用/** 監聽了get/post型別的所有端點,
- 當一個請求進入時,程式首先基于Springboot的自動配置,將組態檔注入到functionProperties,隨后將以“WebRequestConstants.handler”為key,function為值添加到request陣列里面,
- 請求正式進入Controller節點,Controller首先會將請求使用wrapper進行包裝,wrapper就是將request轉成FunctionInvocationWrapper 格式,
- 隨后進入processRequest 對request進行處理,執行function的apply方法,跳轉到doApply()時會對function進行判斷,判斷是不是functionRouter方法,根據咱們的組態檔此時的function為
RoutingFunction.FUNCTION_NAME既functionRouter所以會,一路跳轉到RoutingFunction.route
-
隨后進入else if 分支, http頭
spring.cloud.function.routing-expression不為空,則傳入其值到functionFromExpression方法,
-
使用標準的
StandardEvaluationContext對header的值進行SpEL運算式決議:
后續就不用再跟下去了,至此可以發現,只要通過環境變數、組態檔或者引數等方式配置為spring.cloud.function.definition=functionRouter 即可觸發SpEL注入,
補丁分析
SpringCloud官方已經修復了此問題(https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f)
和其他SpEL注入修復方式一樣,使用了SimpleEvaluationContext替換StandardEvaluationContext,那這個漏洞基本就算修復完成了,但因為這個commit還沒有納入版本,所以目前springcloud Function3.0以上版本仍然暴露在風險之中,
參考
- https://spring.io/projects/spring-cloud-function#overview
- https://cloud.spring.io/spring-cloud-function/reference/html/spring-cloud-function.html#_function_catalog_and_flexible_function_signatures
- https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
- http://itmyhome.com/spring/expressions.html
公眾號
歡迎大家關注我的公眾號,這里有干貨滿滿的硬核安全知識,和我一起學起來吧!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/457545.html
標籤:其他
上一篇:Python實作影像的全景拼接