前段时间看到很多小伙伴研究若依这个系统的漏洞,让我想起若干年前在CNVD交的一个若依任意修改密码洞。
还有之前屯的若依后台Thymeleaf的RCE洞,所以把最新的若依代码拉了下来,用华佗扫了一下,发现漏洞貌似还存在。就是个简单的Thymeleaf ViewName注入RCE。
但是,当我拿出payload测试的时候,却发现,怎么也弹不出计算器了。。。
百思不得其解,所以决定debug一下thymeleaf源码,结果发现,好好的payload居然执行报错了。
然后把报错信息copy出来google了一下,发现,居然Thymeleaf 3.0.12版本,对其进行了限制,静态方法调用、new实例化都不被允许执行了。https://github.com/thymeleaf/thymeleaf/issues/809
然后我看了下,若依在2021/2/20把spring-boot依赖升级到了2.2.13.RELEASE,凉凉,Thymeleaf RCE的终结?
