Thymeleaf模板注入漏洞分析与利用 - RuoYi 4.6.2版本审计<\/h1>

1. 漏洞概述<\/h2>
本文详细分析RuoYi管理系统v4.6.2版本中存在的Thymeleaf模板注入(SSTI)漏洞。该漏洞源于系统在处理用户输入时未进行充分过滤，导致攻击者可以通过构造恶意输入实现服务器端模板注入，进而可能导致远程代码执行(RCE)。<\/p>

2. 环境搭建<\/h2>

参考RuoYi v4.6.0版本的搭建方法：<\/p>

下载RuoYi v4.6.2版本源码<\/li>
配置Java环境和数据库<\/li>

部署系统并确保正常运行<\/li> <\/ul>

3. 漏洞利用<\/h2>

3.1 利用步骤<\/h3>

定位注入点<\/strong>：CacheController.java文件中的相关方法<\/li>

构造恶意请求<\/strong>：
POST \/path\/to\/vulnerable\/endpoint ... fragment=恶意payload <\/code><\/pre> <\/li> 发送请求并观察响应<\/strong><\/li> <\/ol> 3.2 利用Payload示例<\/h3> Thymeleaf 2.0版本的典型利用payload：<\/p> __${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("whoami").getInputStream()).next()}__:: <\/code><\/pre> 4. 漏洞分析<\/h2> 4.1 漏洞触发流程<\/h3> 入口点<\/strong>：CacheController.java第39行<\/p> return<\/span> "模板名称::"<\/span> +<\/span> fragment;<\/span> \/\/ fragment参数可控且未过滤 <\/span><\/span><\/span><\/code><\/pre><\/li> 请求处理流程<\/strong>：<\/p> invokeForRequest()<\/code>方法处理用户请求<\/li> invokeAndHandle()<\/code>方法调用相关controller<\/li> 将返回值作为模板文件名传递给Thymeleaf引擎<\/li> <\/ul> <\/li> 模板解析过程<\/strong>：<\/p> processDispatchResult()<\/code>方法处理结果<\/li> Thymeleaf引擎解析视图名称<\/li> 包含用户输入的fragment参数被当作模板表达式解析<\/li> <\/ul> <\/li> <\/ol> 4.2 关键代码分析<\/h3> \/\/ 在renderFragment方法中 <\/span><\/span><\/span><\/span>IStandardExpressionParser parser =<\/span> StandardExpressions.<\/span>getExpressionParser<\/span>(<\/span>configuration);<\/span> <\/span><\/span>FragmentExpression fragmentExpression =<\/span> (<\/span>FragmentExpression)<\/span>parser.<\/span>parseExpression<\/span>(<\/span>context,<\/span> viewTemplateName +<\/span> "}"<\/span>);<\/span> <\/span><\/span><\/code><\/pre>这段代码将用户控制的viewTemplateName(包含fragment参数)作为Thymeleaf表达式解析，导致SSTI漏洞。<\/p> 5. 漏洞原理<\/h2> 漏洞形成原因：<\/p> 用户输入(fragment参数)直接拼接到模板名称中<\/li> 未对用户输入进行任何过滤或转义<\/li> 系统使用Thymeleaf 2.0版本，存在表达式注入风险<\/li> 返回的视图名称被Thymeleaf引擎当作表达式解析<\/li> <\/ol> 6. 修复方案<\/h2> 6.1 官方修复<\/h3> RuoYi在4.7.2版本中通过升级Thymeleaf版本修复此漏洞。<\/p> 6.2 其他修复建议<\/h3> 输入过滤<\/strong>：<\/p> \/\/ 对fragment参数进行严格过滤 <\/span><\/span><\/span><\/span>if<\/span>(<\/span>fragment.<\/span>contains<\/span>(<\/span>"${"<\/span>)<\/span> ||<\/span> fragment.<\/span>contains<\/span>(<\/span>"__"<\/span>))<\/span> {<\/span> <\/span><\/span> throw<\/span> new<\/span> IllegalArgumentException(<\/span>"Invalid input"<\/span>);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 使用最新版本<\/strong>：<\/p> 升级到Thymeleaf 3.0.15+版本<\/li> 注意：Thymeleaf 3.0.12和3.0.14版本也存在绕过方式<\/li> <\/ul> <\/li> 安全编码实践<\/strong>：<\/p> 避免将用户输入直接作为模板名称<\/li> 使用白名单验证用户输入<\/li> <\/ul> <\/li> <\/ol> 7. 相关资源<\/h2> Thymeleaf SSTI绕过技术<\/a><\/li> Thymeleaf安全研究<\/a><\/li> RuoYi v4.6.0漏洞分析<\/a><\/li> <\/ol> 8. 总结<\/h2> RuoYi v4.6.2版本的Thymeleaf模板注入漏洞展示了SSTI的典型利用场景。通过分析此漏洞，我们可以学习到：<\/p> 模板引擎使用不当可能导致严重安全问题<\/li> 用户输入必须经过严格验证和过滤<\/li> 保持依赖库更新是安全开发的重要环节<\/li> 理解框架内部处理流程对漏洞分析至关重要<\/li> <\/ol> 安全建议：在使用任何模板引擎时，都应避免将用户输入直接作为模板或模板名称，并确保使用最新版本以获得安全修复。<\/p>