Thymeleaf模板注入漏洞分析与利用<\/h1>

1. 漏洞背景<\/h2>
Thymeleaf是一种现代服务器端Java模板引擎，当与Spring框架结合使用时，如果处理不当可能导致模板注入漏洞。本文基于WCTF2020比赛中的Thymeleaf题目，分析其漏洞原理及多种payload形式。<\/p>

2. 环境特性<\/h2>

Spring+Thymeleaf环境<\/strong>：当web应用基于Spring时，Thymeleaf使用SpEL表达式语言<\/li>

独立Thymeleaf环境<\/strong>：使用OGNL表达式语言<\/li> <\/ul>
3. Thymeleaf预处理机制<\/h2>
Thymeleaf有一个关键特性叫做表达式预处理<\/strong>(Expression PreProcessing)，置于__...__<\/code>中的内容会被预处理：<\/p>
#{selection.__${sel.code}__} <\/code><\/pre> 预处理结果会作为表达式的一部分继续处理。<\/p> 4. 请求处理流程分析<\/h2> 4.1 获取View的过程<\/h3> DispatcherServlet处理流程<\/strong>：<\/p> 定位到org.springframework.web.servlet.DispatcherServlet#doDispatch()<\/code><\/li> 获取ModelAndView对象的两步关键过程： ha.handle()<\/code><\/li> applyDefaultViewName()<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> ModelAndView的view值获取<\/strong>：<\/p> 有返回值的方法：返回值作为view值 @GetMapping<\/span>(<\/span>"\/path"<\/span>)<\/span> <\/span><\/span>public<\/span> String path<\/span>(<\/span>@RequestParam<\/span> String lang)<\/span> {<\/span> <\/span><\/span> return<\/span> "user\/"<\/span> +<\/span> lang +<\/span> "\/welcome"<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> void方法：ModelAndView的view值为null<\/li> <\/ul> <\/li> 默认ViewName处理<\/strong>：<\/p> 当view为null时，会获取DefaultView<\/li> transformPath()<\/code>处理：去掉前后\/<\/code><\/li> 将.<\/code>及之后内容当作扩展名并截掉<\/li> 因此payload后需要增加.<\/code>以保证内容完整<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 4.2 表达式解析流程<\/h3> 视图渲染<\/strong>：<\/p> processDispatchResult()<\/code><\/li> render()<\/code><\/li> ThymeleafView.render()<\/code><\/li> renderFragment()<\/code><\/li> <\/ul> <\/li> 表达式解析关键点<\/strong>：<\/p> 判断viewTemplateName是否包含::<\/code><\/li> 调用IStandardExpressionParser.parseExpression()<\/code>解析~{viewTemplateName}<\/code><\/li> 预处理__${}__<\/code>里的内容<\/li> 进行第二次表达式解析<\/li> <\/ul> <\/li> 执行特点<\/strong>：<\/p> 第一次处理时，只要__${}__<\/code>语法正确，一定会被执行<\/li> 第二次解析失败会显示原viewTemplateName值，但恶意语句已执行<\/li> <\/ul> <\/li> <\/ol> 5. 不同场景下的Payload分析<\/h2> 5.1 场景一：有返回值的控制器方法<\/h3> Payload形式<\/strong>：<\/p> __${xxx}__<\/code><\/li> __${xxx}__::x<\/code><\/li> <\/ul> 特点<\/strong>：<\/p> 拼接结果为~{user\/welcome}<\/code><\/li> 第一次解析后为~{user\/xxx::\/welcome}<\/code>（合法语法）<\/li> 不需要.x<\/code>也能成功<\/li> <\/ul> 5.2 场景二：void方法<\/h3> Payload形式<\/strong>：<\/p> __${xxx}__::x.<\/code><\/li> <\/ul> 特点<\/strong>：<\/p> 使用path值作为view<\/li> 需要::<\/code>后有值且最后有.<\/code>（防止被截断）<\/li> <\/ul> 5.3 场景三：无::<\/code>的情况<\/h3> Payload形式<\/strong>：<\/p> __${xxx}__.<\/code><\/li> <\/ul> 特点<\/strong>：<\/p> 不需要::<\/code><\/li> 结尾需要.<\/code>（防止被截断）<\/li> <\/ul> 5.4 场景四：@ResponseBody注解<\/h3> 特点<\/strong>：<\/p> 不能成功<\/li> Spring会将返回值作为响应内容而非模板<\/li> <\/ul> 6. 通用Payload建议<\/h2> 有回显情况<\/strong>：<\/p> __${}__::x.<\/code><\/li> <\/ul> <\/li> 无回显情况<\/strong>：<\/p> 确保__${}__<\/code>语法正确<\/li> viewTemplateName中包含::<\/code>（位置不限）<\/li> <\/ul> <\/li> <\/ol> 7. 检测与防御建议<\/h2> 7.1 漏洞检测<\/h3> 分析控制器方法是否有返回值<\/li> 检查是否使用@ResponseBody<\/li> 测试不同payload形式<\/li> <\/ul> 7.2 防御措施<\/h3> 避免用户输入直接进入模板解析<\/li> 对用户输入进行严格过滤<\/li> 使用最新版本的Thymeleaf和Spring框架<\/li> <\/ul> 8. 总结<\/h2> Thymeleaf模板注入漏洞的利用需要根据具体场景选择适当的payload形式。理解Spring与Thymeleaf的交互流程以及表达式解析机制是分析和利用此类漏洞的关键。在实际应用中，开发者应当注意避免不安全的模板处理方式，以防止此类漏洞的产生。<\/p>

Thymeleaf模板注入漏洞分析与利用<\/h1>

1. 漏洞背景<\/h2> Thymeleaf是一种现代服务器端Java模板引擎，当与Spring框架结合使用时，如果处理不当可能导致模板注入漏洞。本文基于WCTF2020比赛中的Thymeleaf题目，分析其漏洞原理及多种payload形式。<\/p>

4. 请求处理流程分析<\/h2>

5. 不同场景下的Payload分析<\/h2>

7. 检测与防御建议<\/h2>

1. 漏洞背景<\/h2>
Thymeleaf是一种现代服务器端Java模板引擎，当与Spring框架结合使用时，如果处理不当可能导致模板注入漏洞。本文基于WCTF2020比赛中的Thymeleaf题目，分析其漏洞原理及多种payload形式。<\/p>