SpringCloud Function 介紹

SpringCloud 是一套分布式系統(tǒng)的解決方案，常見(jiàn)的還有阿里巴巴的Dubbo，F(xiàn)ass（Function As A Service ）的底層實(shí)現(xiàn)就是函數(shù)式編程，在視頻轉(zhuǎn)碼、音視頻轉(zhuǎn)換、數(shù)據(jù)倉(cāng)庫(kù)ETL等與狀態(tài)相關(guān)度低的領(lǐng)域運(yùn)用的比較多。開(kāi)發(fā)者無(wú)需關(guān)注服務(wù)器環(huán)境運(yùn)維等問(wèn)題上，專(zhuān)注于自身業(yè)務(wù)邏輯實(shí)現(xiàn)即可。

SpringCloud Function 就是Spring提供的分布式函數(shù)式編程組件。

漏洞環(huán)境搭建

通過(guò)idea新建一個(gè)Spring項(xiàng)目，pom中引入spring-boot-starter-web、spring-cloud-function-web，如下：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>SpringCloudDemo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>SpringCloudDemo</name>
    <description>SpringCloudDemo</description>
    <properties>
        <java.version>1.8</java.version>
        <spring-cloud.version>2021.0.1</spring-cloud.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-function-web</artifactId>
            <version>3.2.2</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>
    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>${spring-cloud.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>
</project>

其中spring-cloud-function-web的依賴(lài)如上圖，核心實(shí)現(xiàn)為spring-cloud-function-core包。

先在main函數(shù)中新建兩個(gè)方法（uppercase將字符串變?yōu)榇髮?xiě)，reverse字符串反轉(zhuǎn)）：

當(dāng)在pom中引入spring-cloud-function-web后，函數(shù)會(huì)自動(dòng)添加為HTTP端點(diǎn)。

然后漏洞關(guān)鍵是在application.properties 或者yaml配置文件中新增一行:

spring.cloud.function.definition=functionRouter

這里的屬性spring.cloud.function.definition 表示聲明式函數(shù)組合，這個(gè)功能允許在提供屬性時(shí)使用|（管道）,或;（過(guò)濾）分隔符以聲明的方式提供組合指令。例如

--spring.cloud.function.definition=uppercase|reverse

舉例：

當(dāng)配置該屬性為uppercase時(shí)，訪(fǎng)問(wèn)根路徑提交的參數(shù)會(huì)自動(dòng)被uppercase函數(shù)接受轉(zhuǎn)化為大寫(xiě)：

反之若配置為reverse則默認(rèn)路徑函數(shù)功能為反轉(zhuǎn)字符串：

通俗來(lái)講這個(gè)屬性就是一個(gè)默認(rèn)路由， 可以手動(dòng)指定相關(guān)函數(shù)，也可以使用functionRouter ，指定的方式可以是配置文件、環(huán)境變量或者啟動(dòng)參數(shù)等。

functionRouter

如果設(shè)置為functionRouter則默認(rèn)路由綁定的具體函數(shù)交由用戶(hù)進(jìn)行控制，在 Spring Cloud Function Web里面，可以通過(guò)設(shè)置http頭的方式來(lái)控制，使用spring.cloud.function.definition 和spring.cloud.function.routing-expression 都可以，區(qū)別是后者允許使用Spring表達(dá)式語(yǔ)言（SpEL）。

舉例：

因?yàn)?code>spring.cloud.function.routing-expression 允許使用SpEL表達(dá)式，所以就可能存在SpEL注入。

SpEL注入

這里簡(jiǎn)單介紹下SpEL，Spring Expression Language 是Spring提供的具有方法調(diào)用和基本的字符串模版功能的套件。類(lèi)似OGNL、MVEL、JBoss EL。

SpEL可以字符串之間進(jìn)行嵌套也可以單獨(dú)使用，嵌套時(shí)使用#{}(實(shí)現(xiàn)ParserContext接口)。

舉例：

但因?yàn)镾pel支持方法調(diào)用，所以如果使用的是StandardEvaluationContext 進(jìn)行解析（默認(rèn)），則可能會(huì)被濫用，如使用new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()可觸發(fā)命令執(zhí)行：

漏洞復(fù)現(xiàn)

既然SpringCloud Function 中的functionRouter支持SpEL那是不是存在SpEL注入呢，我們?cè)贖TTP頭中插入上面調(diào)起計(jì)算器的SpEL表達(dá)式

Payload: spring.cloud.function.routing-expression: new ProcessBuilder('/System/Applications/Calculator.app/Contents/MacOS/Calculator').start()

非常簡(jiǎn)單粗暴，漏洞復(fù)現(xiàn)成功：

原理分析

在命令執(zhí)行出下斷點(diǎn)，看下程序執(zhí)行流程。

SpringCloud Function之所以能自動(dòng)將函數(shù)建立http端點(diǎn)，是因?yàn)樵诎?code>mvc.FunctionController中使用/** 監(jiān)聽(tīng)了get/post類(lèi)型的所有端點(diǎn)。

1.當(dāng)一個(gè)請(qǐng)求進(jìn)入時(shí)，程序首先基于Springboot的自動(dòng)配置，將配置文件注入到functionProperties，隨后將以“WebRequestConstants.handler”為key，function為值添加到request數(shù)組里面。

2.請(qǐng)求正式進(jìn)入Controller節(jié)點(diǎn)，Controller首先會(huì)將請(qǐng)求使用wrapper進(jìn)行包裝，wrapper就是將request轉(zhuǎn)成FunctionInvocationWrapper 格式。

3.隨后進(jìn)入processRequest 對(duì)request進(jìn)行處理，執(zhí)行function的apply方法，跳轉(zhuǎn)到doApply()時(shí)會(huì)對(duì)function進(jìn)行判斷，判斷是不是functionRouter方法，根據(jù)咱們的配置文件此時(shí)的function為RoutingFunction.FUNCTION_NAME 既 functionRouter所以會(huì),一路跳轉(zhuǎn)到RoutingFunction.route

5.隨后進(jìn)入else if 分支，http頭spring.cloud.function.routing-expression 不為空，則傳入其值到functionFromExpression方法。

6.使用標(biāo)準(zhǔn)的StandardEvaluationContext 對(duì)header的值進(jìn)行SpEL表達(dá)式解析：

后續(xù)就不用再跟下去了，至此可以發(fā)現(xiàn)，只要通過(guò)環(huán)境變量、配置文件或者參數(shù)等方式配置為spring.cloud.function.definition=functionRouter 即可觸發(fā)SpEL注入。

補(bǔ)丁分析

SpringCloud官方已經(jīng)修復(fù)了此問(wèn)題（https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f）

和其他SpEL注入修復(fù)方式一樣，使用了SimpleEvaluationContext替換StandardEvaluationContext，那這個(gè)漏洞基本就算修復(fù)完成了。但因?yàn)檫@個(gè)commit還沒(méi)有納入版本，所以目前springcloud Function3.0以上版本仍然暴露在風(fēng)險(xiǎn)之中。

引用

https://spring.io/projects/spring-cloud-function#overview
https://cloud.spring.io/spring-cloud-function/reference/html/spring-cloud-function.html#_function_catalog_and_flexible_function_signatures
https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
http://itmyhome.com/spring/expressions.html

到此這篇關(guān)于SpringCloud Function SpEL注入漏洞分析的文章就介紹到這了,更多相關(guān)SpringCloud Function SpEL注入漏洞分析內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論