@yzddmr6
@zsxq: websafe
背景
前几天有个小伙伴做项目的时候遇到一个问题来问我,大概情况如下:
- jsp的站,可以任意文件上传
- 上传jsp会把<%中的<给转义掉
- 上传jspx会把<jsp:scriptlet>到</jsp:scriptlet>中的内容替换为空
问有什么突破办法?
当时研究了一下后jsp和jspx各给了一个解决方案,后来发到星球里后@hosch3n师傅又提出了一种新的方案,tql
解决方案
其实问题等价于:
- jsp不使用<% %>标签如何执行命令
- jspx不使用<jsp:scriptlet> </jsp:scriptlet>如何执行命令
jsp利用EL表达式绕过
jsp是默认解析el表达式的,并且在没有jsp标签的情况下也可以直接执行,这样就可以绕过jsp的限制。
星球里面@Gh0stFx也提到了这一点
jspx利用命名空间绕过
因为jspx实际上是jsp的xml写法,所以继承了xml的所有特性,例如cdata跟html实体编码等,同样也继承了命名空间的特性。
https://www.runoob.com/xml/xml-namespaces.html
在<jsp:scriptlet>这个标签中,jsp就是默认的命名空间,但是实际上可以随意替换成其他名字
这样就绕过了对<jsp:scriptlet>的过滤
jspx利用<jsp:expression>绕过
在jsp中可以利用表达式绕过,那么jspx中同样也可以,以下是jsp跟jspx语法的对照:
这个方法是@hosch3n师傅提出来的,把表达式写到jspx中,同样可以达到执行命令的目的