Ho1aAs‘s Blog

解析外部提供的 URL（例如，通过查询参数）并且在解析的 URL 的主机上执行验证检查的应用程序可能容易受到开放重定向攻击，或者在通过验证检查后使用该 URL 时容易受到 SSRF 攻击。观察可以发现其实让userInfo匹配为“空”还有一个办法，星号可以匹配0次，所以可以在//后面之间跟一个@，这样userInfo匹配到的就是""，因为这里匹配的是第一个@前。因为第四个分组匹配到null，所以下一个分组从//后，继续匹配第五个分组，也就是匹配host。userInfo是第四个分组，是第三个分组的子组。

简析CVE-2023-48795:SSH协议前缀截断攻击(Terrapin攻击)

# 影响版本Apache Commons Text ≤ 1.9# 漏洞原理插值器允许执行script原理跟CVE-2022-33980: Apache Commons Configuration读文件RCE一样

影响版本 Apache Commons JXpath

class文件常量池最大只有`0xFFFF`（65535），当写入常量数量n>0xFFFF时：正常写入常量池是`n & 0xFFFF`个，被截断，后续多余的将会溢出、覆盖正常class文件的内容，首当其冲的是`access_flag`参数。如果写入65536个常量，那么常量池表就为空（0x10000 & 0xFFFF = 0）；如果写入65537个常量，此时常量表为1...以此类推，后面溢出的常量就覆盖了class文件。

# 影响版本Spring Data MongoDB: 3.3.0-3.3.4、3.4.0# 漏洞原理使用@Query或@Aggregation注解进行查询时，通过占位符获取输入参数可能会触发SpEL表达式解析

从2.4版本开始，一直到2.7版本，默认的Lookup实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找器是-“script”-使用JVM脚本执行引擎（javax.script）执行表达式-“dns”-解析dns记录-“url”-从urls加载值，包括从远程服务器加载值如果使用不受信任的配置值，使用受影响版本中的插值默认值的应用程序可能会受到远程代码执行或无意中与远程服务器接触的影响。方法，也就是调用prefix对应插值器的lookup方法查找name对应的值。......

## 漏洞简介向`/functionRouter`路由发送headers带有`spring.cloud.function.routing-expression`键的POST包时，会触发SPEL解析该键值## 影响范围3.0.0

向一个可以能引发报错的controller传参，报错时会渲染出报错页面对输入的参数SPEL解析Springboot: 1.1.0 ~ 1.1.12、1.2.0 ~ 1.2.7、1.3.0新建Springboot项目，设置为受影响的版本编写一个通过输入能抛出错误的controller传入SPEL表达式触发注入这里SPEL表达式是不能含有单双引号的，否则无法RCE，因此在exec的时候需要绕过：将引号字符串换成ascii表示ascii转换：代码审计从报错页面渲染开始，在org.springframewo