官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Gitee 榜首 | 某热门开源工作流引擎RCE漏洞分析
训牛高手- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
一、免责声明
本帖旨在于技术交流,请勿用于任何不当用途!由此而引起的一切不良后果均与本人无关!
二、项目简介
项目名:mldong
gitee: https://gitee.com/mldong/mldong.git
该项目是一个自研开源工作流引擎,已经连续数周拿下Gitee热门项目榜首。
三、漏洞分析
1.锁定危险函数eval()
com/mldong/modules/wf/engine/model/DecisionModel.java:28
根据以往经验,eval()等方法通常涉及注入问题,但实际情况需要进一步确认。
2.eval()函数分析
/hutool/hutool-all/5.8.4/hutool-all-5.8.4.jar!/cn/hutool/extra/expression/ExpressionUtil.class:20
通过代码跟踪发现,eval方法是根据ExpressionEngine接口实现得来的,然而最终是由哪个表达式解析组件去实现却并不确定。可能是SPEL,也可能是MVEL或者其它。
我们发现该方法来自hutool组件,接下来我们先对hutool进行简单了解,这样才有利于我们更好的理解代码。
3.hutool简介
Hutool是一个Java工具类库,从图中可以知道第10个模块extra是一个可拓展模块,而我们的eval()方法正是来自这个模块。难道这个方法
可试读前30%内容
¥ 9.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
训牛高手
练习时长两年半的代码审计砖家。
已在FreeBuf发表 5 篇文章
本文为 训牛高手 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
Java代码审计
相关推荐
训牛高手 LV.3
练习时长两年半的代码审计砖家。
- 5 文章数
- 14 关注者
渗透测试 | 对Austin系统进行代码审计并利用文件读写漏洞实现Getshell
2024-01-10
关于LinkWeChat的一次代码审计记录
2023-12-04
芋道管理系统RCE漏洞简谈
2023-05-23
文章目录