0x00 事发

昨天又看到Dubbo公布了几个新的CVE，其中有两个RCE（CVE-2021-30179和CVE-2021-30180），一个SSRF（CVE-2021-25640），其中看到CVE-2021-30179标题是“Pre-auth RCE via Java deserialization in the Generic filter”，忽视了deserialization这个关键字，看邮件内容以为是一个新的反射任意调用洞，感觉有点东西，所以稍微跟了下细节。

0x00 事情的由来

昨天看到Dubbo公布了几个新的CVE，一个没有Credit的中危 CVE-2021-25641，一个有Credit（Github Security Lab）的低危 CVE-2021-30181，其中CVE-2021-30181漏洞邮件标题为“RCE on customers via Script route poisoning (Nashorn script injection)”，看起来是route的地方出现的问题，执行了外部传入的script，导致RCE。

前段时间看到很多小伙伴研究若依这个系统的漏洞，让我想起若干年前在CNVD交的一个若依任意修改密码洞。

还有之前屯的若依后台Thymeleaf的RCE洞，所以把最新的若依代码拉了下来，用华佗扫了一下，发现漏洞貌似还存在。就是个简单的Thymeleaf ViewName注入RCE。

0x01 骚话

前段时间写了个EL表达式简单解析的程序，打算用来增强WAF，解决一些包含EL表达式的payload对WAF的绕过（利用字符串拼接、java语法trick等），刚看到Thymeleaf在3.0.12添加了Restricted mode用于限制一些静态方法和实例化的调用，好像跟我做的东西有一点点相似。所以，本着工匠精神，还是想研究了一下老外是怎么做的，所以打开了Thymeleaf的源码。

0x00 背景

前人栽树，后人砍树，不然怎来薪火相传。有意义的卷，能带来进步！

昨天写完《JDK8任意文件写场景下的Fastjson RCE》后，看到Landgrey大佬的文章再次补充了一下SpringBoot使用Accept头触发charset.jar加载的方式，应该是非常之完美的SpringBoot Fat Jar任意文件写的RCE了。