漏洞分析:jdk9+Spring及其衍生框架

最新推荐文章于 2024-01-19 11:43:43 发布
最新推荐文章于 2024-01-19 11:43:43 发布
阅读量185 收藏
点赞数
文章标签: spring servlet 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75857869/article/details/128974900
版权
本文深入分析了JDK9及以上版本中Spring及其衍生框架的漏洞利用条件和过程,涉及Tomcat部署的Spring项目,以及POJO参数绑定。通过API Introspector.getBeanInfo获取敏感信息,利用模块化系统绕过安全限制。文章详细阐述了漏洞的利用链,包括如何修改日志配置以创建webshell,并讨论了官方的修复措施。
摘要由CSDN通过智能技术生成

一. 漏洞利用条件

jdk9+

Spring 及其衍生框架

使用tomcat部署spring项目

使用了POJO参数绑定

Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本

二. 漏洞分析

通过API Introspector. getBeanInfo 可以获取到POJO的基类Object.class的属性class,进一步可以获取到Class.class的其他属性,其中就包括了classloader,再利用获取到的属性构造利用链,这次爆出来的漏洞既然是绕过,那么原理应该也差不多,首先先搭建环境,构造一个简单的POJO:

public class User {

private String name;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

}

再写个简单的controller:

@RequestMapping("/test")

public String test(User user){

System.out.println(user.getName());

return "hello spring-mvc";

}

发送get请求:http://localhost:8080/test?name=test 即可完成一次简单的数据绑定。

在开始调试分析之前,首先需要对spring的数据绑定体系机构有个简单的了解,其中涉及到一个关键类org.springframework.validation.DataBinder类,DataBinder类实现了TypeConverter和PropertyEditorRegistry接口,作用主要是把字符串形式的参数转换成服务端真正需要的类型的转换,同时还有校验功能,其中有如下这些属性:

@Nullable

private final Object target;//需要数据绑定的对象

private final String objectName;//给对象起得名字默认target

@Nullable

private AbstractPropertyBindingResult bindingResult;//数据绑定后的结果

@Nullable

private SimpleTypeConverter typeConverter;//当target!=null时不会用到

private boolean ignoreUnknownFields = true;//忽略target不存在的属性,作用于PropertyAccessor的setPropertyValues()方法

private boolean ignoreInvalidFields = false;//忽略target不能访问的属性

private boolean autoGrowNestedPaths = true;//当嵌套属性为空时,是否可以实例化该属性

private int autoGrowCollectionLimit = DEFAULT_AUTO_GROW_COLLECTION_LIMIT;//对于集合类型容量的最大值

@Nullable

private String[] allowedFields;//允许数据绑定的资源

@Nullable

private String[] disallowedFields;//不允许的

@Nullable

private String[] requiredFields;//数据绑定必须存在的字段

@Nullable

private ConversionService conversionService;//为getPropertyAccessor().setConversionService(conversionService);

@Nullable

private MessageCodesResolver messageCodesResolver;//同bindingResult的

private BindingErrorProcessor bindingErrorProcessor = new DefaultBindingErrorProcessor();

private final List<Validator> validators = new ArrayList<>();//自定义数据校验器

其中bindingResult是BeanPropertyBindingResult的实例,内部会持有一个BeanWrapperImpl。

bind()是数据绑定对象的核心方法:将给定的属性值绑定到此绑定程序的目标,源码如下:

**public**void bind(PropertyValues pvs) {
MutablePropertyVal
最低0.47元/天 解锁文章
程序员网安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞分析jdk9+Spring 及其衍生框架
m0_70565884的博客
05-23 308
一. 漏洞利用条件 jdk9+ Spring 及其衍生框架 使用 tomcat 部署 spring 项目 使用了 POJO 参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本 二. 漏洞分析 通过 API Introspector. getBeanInfo 可以获取到 POJO 的基类 Object.class 的属性 class,进一步可以获取到 Class.class 的其他属性,其中就包括了 classloa
(六)观察者模式详解(包含观察者模式JDK漏洞以及事件驱动模型)
v5browser
06-16 242
作者:zuoxiaolong8810(左潇龙),转载请注明出处。 本章我们讨论一个除前面的单例以及代理模式之外,一个WEB项目中有可能用到的设计模式,即观察者模式。 说起观察者模式,LZ还是非常激动的,当初这算是第一个让LZ感受到设计模式强大的家伙。当初LZ要做一个小型WEB项目,要上传给服务器文件,一个需求就是要显示上传进度,LZ就是用这个模式解决了当时的问题,那时LZ接触JAVA刚几个...
Spring 官方证实!框架漏洞JDK 9 及以上版本均受影响
weixin_45727359的博客
04-03 296
继 Log4j 2 之后,听闻 Java 再次遭到漏洞攻击,这一次,似乎情况也更为严重,因为受到影响的是 Java 平台的开源全栈应用程序框架和控制反转容器实现——Spring 家族,而且网传漏洞还不止一个。一直以来,Spring 是编程开发的必选技术之一,此前一位名为 Bogdan N. 的全栈开发者甚至评价道:“学习 Java、学习 Spring 框架,你永远都不会失...
年度加密漏洞提前锁定:Java JDK 加密实现漏洞可用于伪造凭据
smellycat000的专栏
04-21 325
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Java JDK 的某些加密操作实现中存在一个灾难性漏洞,可使攻击者轻易伪造虚假凭据。该灾难性弱点影响 Java JDK 15及后续版本,已由 Oracle 在今天的关键补丁更新发布中修复。由于这些缺陷牵涉对使用广泛的 ECDSA 签名的实现,因此 Oracle Java 和 OpenJDK 均需更新。问题源自编程错误,...
Java RMI Registry 反序列化漏洞(<=jdk8u111)
zzzzz1284的博客
03-13 340
Java RMI Registry 反序列化
以电商项目为线索,快速掌握 JDK17 + springboot3 + springcloud Alibaba 专栏源码
10-13
鉴权:Spring Authorization Server 、Oauth2.1 消息队列:rocketmq 限流、熔断:sentinel 链路追踪:Micrometer Tracing 接口文档:knife4j 3 模块设计 — shop-parent 父工程 ​ — shop-product-api 商品微服务...
JDK 8 + Spring Boot 2.7.18
01-08
【标题】"JDK 8 + Spring Boot 2.7.18" 指的是一个基于Java 8和Spring Boot 2.7.18版本的开发环境或项目。这个组合是现代Java应用程序开发中的常见选择,因为它提供了高效能、易用性和强大的功能。 【JDK 8】是Java...
spring5.x+springmvc5.x+mybatis3.5x+tomcat9+jdk8+maven 项目框架搭建 1.1版本
03-11
本项目框架搭建基于"spring5.x+springmvc5.x+mybatis3.5x+tomcat9+jdk8+maven",这是一个经典且广泛使用的Java开发配置。下面将详细阐述这些组件的功能、相互关系以及如何进行集成。 1. **Spring 5.x**: Spring是...
手把手教你整合最优雅SSM框架SpringMVC + Spring + MyBatis
11-21
整合SSM框架SpringMVC + Spring + MyBatis),适合刚接触spring的童鞋,需要有servlet和jsp基础。学习完SSM整合后可以应付开发工作,但是建议继续深究,学习spring boot,spring cloud等技术,让开发效率更上一层...
jdk1.8 handshake_failure漏洞修复jar UnlimitedJCEPolicyJDK7.zip
08-05
UnlimitedJCEPolicyJDK7 修复jdk1.8的漏洞
反序列化漏洞_JDK7u21反序列化漏洞
weixin_39966909的博客
12-14 330
标题: JDK7u21反序列化漏洞☆前言☆Serializable接口详解11)JDK7u21反序列化漏洞11.1)JacksonExploit7u21.java11.2)JDK7u21Exec.java11.3)复杂版调用关系11.4)简化版调用关系11.5)7u25-b03(2013-06-1...
JDK漏洞之6260652
gzheclipse的博客
05-06 964
看过JDK源码的童鞋可能会发现ArrayList和CopyOnWriteArrayList类中有如下源码注释: . 这个see 6260652是个什么玩意呢?它其实是JDK的bug文档编号。 https://bugs.java.com/bugdatabase/view_bug.do?bug_id=6260652 这是个什么bug呢? 假如有一个Object[]数组,并不代表可以将Ob...
spring远程命令执行漏洞JDK版本9及以上
Object的博客
03-30 283
漏洞预警】Spring远程命令执行漏洞
Spring 官方证实:框架爆大漏洞JDK 9 及以上版本均受影响
qq_43842093的博客
04-02 1445
继 Log4j 2 之后,听闻 Java 再次遭到漏洞攻击,这一次,似乎情况也更为严重,因为受到影响的是 Java 平台的开源全栈应用程序框架和控制反转容器实现——Spring 家族,而且网传漏洞还不止一个。 一直以来,Spring 是编程开发的必选技术之一,此前一位名为 Bogdan N. 的全栈开发者甚至评价道:“学习 Java、学习 Spring 框架,你永远都不会失业。”可想而知,如果 Spring 城门失火,Java 必定遭殃。 据悉,3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂
Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞复现
Tauil的博客
07-24 785
该远程代码执行漏洞起因有可能与对SpringCore所做的更改有关,该更改弃用了使用Java序列化和反序列化的旧“异常克隆”函数。该操作导致Java中使用不受信任的字符串值的反序列化运行远程代码。因为需要设置c1、c2、suffix值,所以攻击机中打开burpsiute进行抓包,修改数据包为。,那么我们可以尝试构造特定的类,从而在目标web目录下创建特定文件。sudodockerps//记住你使用8983端口容器ID,记前两位就行。就可以看到我们输入的命令执行成功了。,该页面的页源代码是。......
Javaweb安全——反序列化漏洞-原生利用链JDK8u20
weixin_43610673的博客
10-24 1538
回顾一下JDK7u21那个链子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用链,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。
一次项目漏洞升级的过程(JDK8升级到JDK17)
最新发布
熊浪的博客
01-19 805
1、spring-web需要升级到6.x,spring-boot需要升级到3.x,JDK需要升级到JDK17(Oracle JDK17三年免费授权从2024年9月,所以需要使用OpenJDK17),Java EE转Jakarta;因为使用了OpenJdk17,cglib代理在2019年8月停止更新,OpenJDK17是2019年9月出来的,也不支持需要修改;第二步、扫描后的漏洞存在镜像漏洞,中间件漏洞和代码jar包漏洞;第三步、区分对外和不对外的服务,先更新对外服务;第二步、更新IDEA的JDK配置。
JavaWeb实训:Struts+Hibernate+Spring框架应用开发
任务二:Spring Spring的学习主要包括IoC(Inversion of Control)容器的使用,依赖注入的概念,以及Spring MVC框架的应用。学生将了解如何定义bean、管理bean的生命周期,并通过编写简单的Spring应用来实践这些概念...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值