RCE(Remote Code Execution),可以分为:命令注入(Command Injection)、代码注入(Code Injection)
示例Payload 弹计算器-mac 弹计算器-win Run
Groovy是一种基于JVM的动态语言,语法简洁,支持闭包、动态类型和Java互操作性,常用于脚本开发和自动化任务 Groovy代码注入漏洞通常是由于未对用户输入进行适当的验证和过滤,导致恶意输入被直接执行为 Groovy脚本的一部分
使用白名单或预定义的脚本模板来限制执行的范围,例如只允许执行whoami、id、ls命令