SpEL类似于JSP中的EL表达式，但是功能要更加丰富。并且SpEL不仅可以用于Web页面之中，也可以用于任何导入了SpEL包的项目之中。由于还没有了解过相关漏洞，借此机会学习了解一下SpEL表达式注入漏洞。

[toc]

前言

由于spring的参数绑定通过内省机制递归获得对应参数的discriptor，最终通过其writeMethod也就是set方法对其赋值，那么我们可以看通过class类可以到达什么对象，通过对其中的属性进行修改，可以达到什么样的利用效果。由于springRCE的漏洞是对CVE-2010-1622的绕过，我们要先了解下CVE-2010-1622。

[toc]

漏洞详情

复现环境

• jdk11
• tomcat9
• 自己写好打包的war

漏洞分析

从利用的角度来说，就是通过spring的参数绑定来修改日志配置，通过日志来写文件。跟phpmyadmin拿shell挺像的。抛开利用不说，这里我们来看一下漏洞的成因。

首先用springboot写一个简单的web服务

看web的代码

CrossC2使用相关的笔记

小迪渗透内网部分的笔记

CS官方教程的学习笔记，目前进度到Weaponization。

第五个靶机

Kioptrix系列的靶机，第四个。

常见触发点

• web

  • 常见功能
    • 图片加载
      • 头像
      • 以图搜图
      • 图片变化
      • Markdown显示图片
    • 下载服务
      • 百度云离线下载
    • 预览内容
      • 分享网站
      • 收藏
      • 网址预览
    • 代理服务
    • 文件包含
      • 远程文件包含
        • file_get_contents($file)
        • 开启allow_url_open
    • 多媒体加载
    • api demo
    • 站长工具
    • 在线编程
    • 应用、中间件自带实例文件
    • RSS

本篇对文件上传的学习做了记录。