RabbitQ blog

Home
Asm
Asm
- ConfigC C++Environment
  ConfigC C++Environment
  - vscode配置CC++环境
- GeneralRegister
  GeneralRegister
  - 通用寄存器
- SystemOfNumeration
  SystemOfNumeration
  - 进制
- Quote
  Quote
  - ConfigC C++Environment
- Register
  Register
  - register
C
C
- 1 线性表
  1 线性表
- 2 树和二叉树
  2 树和二叉树
- Dll延迟加载技术
  Dll延迟加载技术
- 全局钩子注入
  全局钩子注入
  - 全局钩子注入.md
- 基础语法
  基础语法
- 运行单一实例
  运行单一实例
- 进程创建
  进程创建
  - 进程创建
- 远程线程注入
  远程线程注入
  - 远程线程注入
C#
C#
- 1 的基本语法
  1 的基本语法
- 2 变量
  2 变量
- 3 运算符
  3 运算符
- 4 名称空间
  4 名称空间
- 5 流程控制
  5 流程控制
Java代码审计
Java代码审计
- Summary
- CommonVulnerabilities
  CommonVulnerabilities
  - java代码审计-表达式注入 java代码审计-表达式注入
    Table of contents
    
    描述
    
    SpEL表达式的用法：
    
    审计技巧：
    
    0x02漏洞防御
    
    0x03参考链接
  - java代码审计-命令执行
  - Java代码审计-反序列化
  - Java代码审计-文件相关漏洞
  - Readme
  - Java代码审计-sqli
  - java代码审计-ssrf
  - java代码审计-xss
  - java代码审计-xxe
- Base
  Base
  - DynamicProxy
    DynamicProxy
    
    Java动态代理
  - JDBC
    JDBC
    
    JDBC
  - JNDI
    JNDI
    
    JNDI
  - JavaFile
    JavaFile
    
    Java文件系统
  - RMI
    RMI
    
    RMI远程方法调用
  - Reflection
    Reflection
    
    Java反射
  - Serializable
    Serializable
    
    序列化及反序列化
  - commandExecute
    commandExecute
    
    Java本地命令执行
- Javaweb
  Javaweb
  - Filter
    Filter
    
    Filter
  - JSP
    JSP
    
    JSP
  - Listener
    Listener
    
    Listener
  - cookieAndSession
    cookieAndSession
    
    会话技术
  - Mvc
    Mvc
    
    MVC模式和三层架构
  - Servlet
    Servlet
    
    servlet
Linux运维
Linux运维
- RuoYi Cloud k8s部署
  RuoYi Cloud k8s部署
  - RuoYi Cloud k8s部署
- Docker源
  Docker源
- K8s集群教程
  K8s集群教程
  - K8S集群搭建若依
- Linux 运维常用命令
  Linux 运维常用命令
- Linux笔记
  Linux笔记
- 马哥运维笔记
  马哥运维笔记
前端
前端
- 30类css选择器
  30类css选择器
- Css实现，一颗剧烈跳动的心
  Css实现，一颗剧烈跳动的心
- Easyexcel 导入数据出错the index of xx and xx must be inconsistent
  Easyexcel 导入数据出错the index of xx and xx must be inconsistent
- Echart graph动态添加数据
  Echart graph动态添加数据
- Echart 关系图graph详解（转载自https www cnblogs com wheatcatcher p 11201721 html）
  Echart 关系图graph详解（转载自https www cnblogs com wheatcatcher p 11201721 html）
- Echart的简单使用
  Echart的简单使用
- jQuery定义及引用方案
  jQuery定义及引用方案
- Jquery 事件
  Jquery 事件
- Jquery 效果淡入
  Jquery 效果淡入
- Jquery 效果滑动
  Jquery 效果滑动
- Jquery 效果隐藏和显示
  Jquery 效果隐藏和显示
- Jquery语法
  Jquery语法
- Jquery选择器
  Jquery选择器
- Js 数组去空值死值
  Js 数组去空值死值
- Json ajax与jsonp
  Json ajax与jsonp
- Js原生代码实现漂浮广告
  Js原生代码实现漂浮广告
- Js控制网站皮肤
  Js控制网站皮肤
- Laydate 日期插件弹出闪退和多次闪退问题解决
  Laydate 日期插件弹出闪退和多次闪退问题解决
- Layui laydate时间控件
  Layui laydate时间控件
- Layui全局配置及定义模块
  Layui全局配置及定义模块
- Layui模块化的用法
  Layui模块化的用法
- Layui非模块化用法
  Layui非模块化用法
- Videojs实现web播放器播放hls
  Videojs实现web播放器播放hls
- Vue warn error in created hook typeerror handler call is not a function
  Vue warn error in created hook typeerror handler call is not a function
- Vue warn invalid prop type check failed for prop min expected number with value 0 got string
  Vue warn invalid prop type check failed for prop min expected number with value 0 got string
- 一个自己写的网页计算器
  一个自己写的网页计算器
- 前端复习笔记
  前端复习笔记
- 前端编解码js
  前端编解码js
- 定位
  定位
- 浏览器存储（cookie、localstorage、sessionstorage）
  浏览器存储（cookie、localstorage、sessionstorage）
- 网站全灰色的办法
  网站全灰色的办法
- 轮播图（使用jq插件）
  轮播图（使用jq插件）
后台管理系统开发
后台管理系统开发
- 前端
  前端
威胁狩猎
威胁狩猎
- zeekWIKI
  zeekWIKI
- 威胁情报运营
  威胁情报运营
  - 威胁情报运营研究工具环境搭建
    威胁情报运营研究工具环境搭建
    
    威胁情报运营研究-工具环境搭建
安全
安全
- 实战或靶场
  实战或靶场
  - Ctf靶场记录
    
    Ctf靶场记录
  - Htb can you encrypt fast enough
    
    Htb can you encrypt fast enough
  - Xctf 小宁写了个ping功能但没有写wafx老师告诉她这是非常
    
    Xctf 小宁写了个ping功能但没有写wafx老师告诉她这是非常
  - 一次简单地提权
    一次简单地提权
    
    提权小案例
  - 三月攻防演练
    三月攻防演练
    
    三月攻防演练
  - 实战web打点到内网漫游
    
    实战web打点到内网漫游
- 攻防演练
  攻防演练
  - 攻防实验室二月攻防演练
- 样本分析
  样本分析
  - 恶意样本分析
    恶意样本分析
    
    分析
- 漏洞复现
  漏洞复现
  - Apache druid任意文件读取漏洞（cve 2021 36749）
    
    Apache druid任意文件读取漏洞（cve 2021 36749）
  - linux内核提权漏洞CVE 2022 0847
    linux内核提权漏洞CVE 2022 0847
    
    linux内核提权漏洞CVE-2022-0847.md
  - Log4j2漏洞复现
    
    Log4j2漏洞复现
  - Rdp漏洞复现
    
    Rdp漏洞复现
  - Rdp漏洞复现详细版
    
    Rdp漏洞复现详细版
  - Thinkphp6 x任意文件写入漏洞
    
    Thinkphp6 x任意文件写入漏洞
- 笔记
  笔记
  - Github 高级搜索技巧
  - linux留后门方法
  - shellcode加载及加壳方法演示
  - web渗透攻击方式汇总
  - Windows命令速查
  - Zeek的一些方法总结
  - 20240130内部培训
    20240130内部培训
    
    20240130内部培训
  - OpenSSL规避流量监测
    OpenSSL规避流量监测
    
    OpenSSL规避流量监测
  - Burp简单破解后台账号密码
    
    Burp简单破解后台账号密码
  - Centos安装msf
    Centos安装msf
    
    Centos安装msf
  - Cs上线win7
    Cs上线win7
    
    CobaltStrike windows7 无法上线
  - Cs打包
    Cs打包
    
    CS打包教程
  - Docker逃逸
    Docker逃逸
    
    Docker逃逸
  - Fastjson
    Fastjson
    
    Fastjson
  - Htb passage教程
    
    Htb passage教程
  - Kali linux 安装google浏览器之后不能打开的问题
    
    Kali linux 安装google浏览器之后不能打开的问题
  - Kalilinux
    
    Kalilinux
  - Kali安装谷歌拼音输入法
    
    Kali安装谷歌拼音输入法
  - Kali更新wpscan过慢
    
    Kali更新wpscan过慢
  - Postgres
    Postgres
    
    postgresSQL弱口令
  - Sqlmap 命令详解
    
    Sqlmap 命令详解
  - 使用钟馗之眼进行信息收集
    
    使用钟馗之眼进行信息收集
  - 免费ddos攻击测试工具
    
    免费ddos攻击测试工具
  - 内网漫步之如何调戏妹纸
    
    内网漫步之如何调戏妹纸
  - 加密流量生成
    加密流量生成
    
    加密流量生成过程
  - 十大渗透测试工具
    
    十大渗透测试工具
  - 渗透测试的一般步骤
    
    渗透测试的一般步骤
  - 渗透测试笔记
    
    渗透测试笔记
  - 漏洞挖掘渗透测试工具库
    
    漏洞挖掘渗透测试工具库
  - 连接多层内网redis
    
    连接多层内网redis
- 防御绕过
  防御绕过
  - CDN绕过
    CDN绕过
    
    绕过 CDN 溯源网站真实 IP
  - DNS隧道上线cobaltstrike
    DNS隧道上线cobaltstrike
    
    DNS隧道上线cobaltstrike
- 靶场记录
  靶场记录
  - 靶场记录
开发
开发
- A jni error has occurredplease check your installation and try again
  A jni error has occurredplease check your installation and try again
- Abstract与接口的区别
  Abstract与接口的区别
- Druid：数据库连接池
  Druid：数据库连接池
- Java包及访问控制权限
  Java包及访问控制权限
- Java包装类
  Java包装类
- Java复习笔记
  Java复习笔记
- Java多线程
  Java多线程
- Java插件功能实现
  Java插件功能实现
  - Java插件思路（SPI机制）
- Jdbc
  Jdbc
- Junit单元测试
  Junit单元测试
- Maven中的groupid和artifact id
  Maven中的groupid和artifact id
- Maven依赖传递性
  Maven依赖传递性
- Mybatis环境搭建
  Mybatis环境搭建
- Myeclipse自动补全
  Myeclipse自动补全
- Net实现调用cmd命令
  Net实现调用cmd命令
- Singleton单例
  Singleton单例
- Springboot
  Springboot
- Springboot学习 01springboot简介及核心功能
  Springboot学习 01springboot简介及核心功能
- Spring笔记
  Spring笔记
- Sql给字段循环赋随机值
  Sql给字段循环赋随机值
- Sql自定义函数传参去掉一个最高分一个最低分
  Sql自定义函数传参去掉一个最高分一个最低分
- Volatile
  Volatile
- 反射
  反射
- 反射 2
  反射 2
- 基于SPI的Java插件技术
  基于SPI的Java插件技术
  - 基于SPI的Java插件技术
- 基于SPI的Java插件技术加载指定插件
  基于SPI的Java插件技术加载指定插件
  - 基于SPI的Java插件技术-加载指定插件
- 委托简单使用
  委托简单使用
- 数据库三范式
  数据库三范式
- 数据库基础
  数据库基础
- 数据库连接池c3p0
  数据库连接池c3p0
- 数据库连接池c3p0 2
  数据库连接池c3p0 2
- 数组和集合的区别
  数组和集合的区别
- 注解
  注解
- 注解 2
  注解 2
- 海康摄像头相关
  海康摄像头相关
- 程序的耦合
  程序的耦合
- 简单的jdbc工程代码
  简单的jdbc工程代码
- 简述comparable和comparator两个接口的区别。
  简述comparable和comparator两个接口的区别。
- 编码命名规范
  编码命名规范
- 解决idea下maven项目创建缓慢下载速度过慢
  解决idea下maven项目创建缓慢下载速度过慢
- 防止表单重复提交
  防止表单重复提交
杂七杂八
杂七杂八
- 测试
- Qt的第一篇博客
  Qt的第一篇博客
- Virtualbox虚拟机断网
  Virtualbox虚拟机断网
  - virtualbox虚拟机断网
- 三行情书
  三行情书
- 中文LLM模型搭建
  中文LLM模型搭建
  - 中文LLM模型搭建
- 仿黑客帝国
  仿黑客帝国
- 未来一段时间的计划
  未来一段时间的计划
- 本地git托管到github发布
  本地git托管到github发布
  - 本地git托管到github发布
- 表白网页
  表白网页
环境搭建
环境搭建
- Ambiguous mapping cannot map xxxcontroller method
  Ambiguous mapping cannot map xxxcontroller method
- Cant connect to mysql server on localhost 10061（一个蠢到爆的问题）
  Cant connect to mysql server on localhost 10061（一个蠢到爆的问题）
- Docker启动失败job for docker service failed because the control process exited with error code see syste mctl status docker service and journalctl xe for details
  Docker启动失败job for docker service failed because the control process exited with error code see syste mctl status docker service and journalctl xe for details
- Error starting applicationcontext to display the conditions report re run your application with debug enabled
  Error starting applicationcontext to display the conditions report re run your application with debug enabled
- Failed to configure a datasource url attribute is not specified and no embedded datasource could be configured
  Failed to configure a datasource url attribute is not specified and no embedded datasource could be configured
- Github搭建个人博客的一系列问题
  Github搭建个人博客的一系列问题
- Git使用
  Git使用
- Git报错
  Git报错
- Git笔记
  Git笔记
- Hexo引用本地图片无法显示
  Hexo引用本地图片无法显示
- Idea2019 1自动补全
  Idea2019 1自动补全
- Idea创建springboot项目报错artifact contains illegal characters
  Idea创建springboot项目报错artifact contains illegal characters
- Idea字体模糊
  Idea字体模糊
- Iis http 错误 403 14
  Iis http 错误 403 14
- Iis搭建
  Iis搭建
- Iis配置教程
  Iis配置教程
- No suitable driver found for jdbcmysql localhost3306 问题
  No suitable driver found for jdbcmysql localhost3306 问题
- Npm太慢，更换淘宝镜像
  Npm太慢，更换淘宝镜像
- Org springframework web multipart maxuploadsizeexceededexception
  Org springframework web multipart maxuploadsizeexceededexception
- Sitesever（ net cms）安装
  Sitesever（ net cms）安装
- There is already xxxcontroller bean method解决办法
  There is already xxxcontroller bean method解决办法
- Vim编辑器命令
  Vim编辑器命令
- Vs各图标含义
  Vs各图标含义
- Vs各种图标含义
  Vs各种图标含义
- Windows环境npm无法生效
  Windows环境npm无法生效
- 使用idea搭建一个简单的springboot项目
  使用idea搭建一个简单的springboot项目
- 使用vps安装宝塔wordpress搭建个人博客遇到的一系列问题
  使用vps安装宝塔wordpress搭建个人博客遇到的一系列问题
- 安装hexo后报错：bash hexo command not found
  安装hexo后报错：bash hexo command not found
- 安装sql时无法连接到local
  安装sql时无法连接到local
- 安装ubuntu踩坑
  安装ubuntu踩坑

java代码审计-表达式注入

描述

Spring表达式语言（Spring Expression Language，SpEL）是一种功能强大的表达式语言，用于在运行时查询和操作对象图，语法上类似于Unified EL，但提供了更多的特性，特别是方法调用和基本字符串模板函数。

Spring为解析SpEL提供了两套不同的接口，分别是“SimpleEvaluationContext”及“StandardEvaluationContext。SimpleEvaluationContext”，这两种接口仅支持SpEL语法的子集，抛弃了Java类型引用、构造函数及beam引用相对较为安全。而StandardEvaluationContext则包含了SpEL的所有功能，并且在不指定 EvaluationContext的情况下，将默认采用StandardEvaluationContext。产生SpEL表达式注入漏洞的另一个主要原因是，很大一部分开发人员未对用户输入进行处理就直接通过解析引擎对SpEL继续解析。一旦用户能够控制解析的SpEL语句，便可通过反射的方式构造代码执行的SpEL语句，从而达到RCE的目的。SpEL漏洞的危害有：任意代码执行、获取SHELL、对服务器进行破坏等

SpEL表达式的用法：

注解

@value("#{表达式}")
public String arg;

这种一般是写死在代码中的，不是关注的重点。

<bean id="Bean1" class="com.test.xxx">
 <property name="arg" value="#{表达式}">
</bean>

这种情况通常也是写死在代码中的，但是也有已知的利用场景，就是利用反序列化让程序加载我们实现构造好的恶意xml文件，如jackson的CVE-2017-17485、weblogic的CVE-2019-2725等。

在代码中处理外部传入的表达式

这部分是关注的重点。

@RequestMapping("/spel")
public String spel(@RequestParam(name = "spel") String spel) {
    ExpressionParser expressionParser = new SpelExpressionParser();
    Expression expression = expressionParser.parseExpression(spel);
    Object object = expression.getValue();
    return object.toString();
}

漏洞可以利用的前置条件有三个：

传入的表达式为过滤
表达式解析之后调用了getValue/setValue方法
使用StandardEvaluationContext（默认）作为上下文对象

spel表达式功能非常强大，在漏洞利用方面主要使用这几个功能：

使用T(Type)表示Type类的实例,Type为全限定名称,如T(com.test.Bean1)。但是java.lang例外,该包下的类可以不指定包名。得到类实例后会访问类静态方法与字段。

T(java.lang.Runtime).getRuntime().exec("whoami")

直接通过java语法实例化对象、调用方法

new ProcessBuilder("whoami").start()

//可以利用反射来绕过一些过滤
#{''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',''.getClass()).invoke(''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(null),'calc')}

审计技巧：

全局查找关键字org.springframework.expression、parseExpression、getValue、getValueType、value="#{*}

0x02漏洞防御

最简单的方式，使用SimpleEvaluationContext作为上下文对象。

@RequestMapping("/spel")
public String spel(@RequestParam(name = "spel") String spel) {
    ExpressionParser expressionParser = new SpelExpressionParser();
    Expression expression = expressionParser.parseExpression(spel);

     //SimpleEvaluationContext减少了一部分功能，并在权限控制上进一步细化
     //可以配置让spel表达式只能访问指定对象
     Category category = new Category();
    EvaluationContext context = SimpleEvaluationContext.forReadOnlyDataBinding().withRootObject(category).build();

    Object object = expression.getValue();
    return object.toString();
}

如果SimpleEvaluationContext不能满足需求，就需要对输入进行严格的过滤。

0x03参考链接

山石JavaWeb靶场的spel相关页面，具体代码见com.hillstone.controller.spel

java代码审计-表达式注入

描述

SpEL表达式的用法：

审计技巧：

0x02漏洞防御

0x03参考链接

Comments