【组件攻击链】一文看懂 Spring 全家桶各类 RCE 漏洞

最新推荐文章于 2024-09-18 02:31:30 发布
最新推荐文章于 2024-09-18 02:31:30 发布
阅读量449 收藏
点赞数
分类专栏: 后端 文章标签: spring java 后端 开发语言 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67698950/article/details/125502790
版权
本文深入探讨Spring全家桶,包括Spring Framework、Spring Boot、Spring Cloud、Spring Security和Spring MVC。文章详细介绍了SpEL(Spring Expression Language)的工作原理和常见操作,如字符串、类和集合操作。通过示例展示了SpEL在注解、XML配置和代码块中的使用。此外,文章列举并分析了多个高危漏洞,如CVE-2018-1270、CVE-2018-1273等,解释了如何利用这些漏洞进行远程代码执行,并提供了补丁分析。通过本文,读者将了解Spring组件的安全风险及其防范措施。
摘要由CSDN通过智能技术生成

一、Spring 全家桶简介

Spring 发展到现在,全家桶所包含的内容非常庞大,这里主要介绍其中关键的 5 个部分,分别是 spring framework、 springboot、 spring cloud、spring security、spring mvc。其中的 spring framework 就是大家常常提到的 spring, 这是所有 spring 内容最基本的底层架构,其包含 spring mvc、springboot、spring core、IOC 和 AOP 等等。Spring mvc 就是 spring 中的一个 MVC 框架,主要用来开发 web 应用和网络接口,但是其使用之前需要配置大量的 xml 文件,比较繁琐,所以出现 springboot,其内置 tomcat 并且内置默认的 XML 配置信息,从而方便了用户的使用。下图就直观表现了他们之间的关系。

而 spring security 主要是用来做鉴权,保证安全性的。Spring Cloud 基于 Spring Boot,简化了分布式系统的开发,集成了服务发现、配置管理、消息总线、负载均衡、断路器、数据监控等各种服务治理能力。

整个 spring 家族有四个重要的基本概念,分别是 IOC、Context、Bean 和 AOP。其中 IOC 指控制反转,在 spring 中的体现就是将对象属性的创建权限回收,然后统一配置,实现解耦合,便于代码的维护。在实际使用过程中可以通过 autowired 注解,不是直接指定某个类,将对象的真实类型放置在 XML 文件中的 bean 中声明,具体例子如下:

<bean name="WelcomeService" class="XXX.XXX.XXX.service.impl.WelcomeServiceImpl"/>

Spring 将所有创建或者管理的对象称为 bean,并放在 context 上下文中统一管理。至于 AOP 就是对各个 MVC 架构的衔接层做统一处理,增强了代码的鲁棒性。下面这张图就形象描述了上述基本概念。 

二、各子组件介绍

Spring 发展至今,整个体系不断壮大,子分类非常庞大,这里只对本次涉及的一些组件做简单的介绍。

首先是 Spring Websocket,Spring 内置简单消息代理。这个代理处理来自客户端的订阅请求,将它们存储在内存中,并将消息广播到具有匹配目标的连接客户端。Spring Data 是一个用于简化数据库访问,并支持云服务的开源框架,其主要目标是使数据库的访问变得方便快捷。Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架,Spring Data 家族中的所有实现都是基于 Spring Data Commons。简单点说,Spring Data REST 把我们需要编写的大量 REST 模版接口做了自动化实现,并符合 HAL 的规范。Spring Web Flow 是 Spring MVC 的扩展,它支持开发基于流程的应用程序,可以将流程的定义和实现流程行为的类和视图分离开来。

 

三、使用量及使用分布

根据全网数据统计,使用 Spring 的网站多达 80 万余,其中大部分集中在美国,中国的使用量排在第二位。其中香港、北京、上海、广东四省市使用量最高。通过网络空间搜索引擎的数据统计和柱状图表,如下图所示。

 

四、漏洞背景介绍(SpEL 使用)

1、SpEL 是什么

SpEL 是基于 spring 的一个表达式语言,类似于 struts 的 OGNL,能够在运行时动态执行一些运算甚至一些指令,类似于 Java 的反射功能。就使用方法上来看,一共分为三类,分别是直接在注解中使用,在 XML 文件中使用和直接在代码块中使用。

2、SpEL 能做什么

● 基本表达式

包括逻辑运算,三目运算和正则表达式等等。

● 类操作表达式

对象方法调用,对象属性引用,自定义函数和类实例化等等。

● 集合操作表达式

字典的访问,投影和修改等等。

● 其他表达式

模板表达式

3、SpEL demo

基于注解的 SpEL

可以结合 sping 的 @Value 注解来使用,可以直接初始化 Bean 的属性值

 

在这种情况下可以直接将 test 的值初始化为 AAA

此外,还有很多其他注解的使用方式,可以结合上面提到的表达式的四种使用模式。

基于 XML 的 SpEL

可以直接在 XML 文件中使用 SpEL 表达式如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns=" 
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"       
       xsi:schemaLocation="http://www.springframework.org/schema/beans       
                        http://www.springframework.org/schema/beans/spring-beans.xsd">    
    <bean id="world" class="java.lang.String">      
      <constructor-arg value="#{' World!'}"/>    
    </bean>    
    <bean id="hello" class="java.lang.String"&
最低0.47元/天 解锁文章
倾听铃的声
关注
专栏目录
Spring 框架RCE 安全漏洞及解决方式
oscar999的专栏
03-31 1万+
SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE漏洞RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE(远程命令执行)漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞
Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421
日拱一卒无有尽,功不唐捐终入海
08-28 1484
背景: Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421。被扫描到需要解决。Spring Boot Actuator是Spring Boot的一个子项目,主要用于监控和管理Spring Boot应用程序。在开发或测试环境中,开发者通常会开启所有Actuator的端点,包括/env端点,以便于对应用程序进行诊断和调试。但在生产环境中,这种配置可能会导致安全问题。就是一个影响的安全漏洞。这个漏洞主要涉及到环境(Env)端点。
spring常见漏洞总结
hongduilanjun的博客
07-21 5115
Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式Spring=春天=Java程序员的春天=简化开发。最后的简化开发正是Spring框架带来的最大好处。Spring是一个开放源代码的设计层面框架,它是于2003年兴起的一个轻量级的Java开发框架。由RodJohnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。...
Spring框架漏洞总结
最新发布
weixin_42492000的博客
09-18 639
目录SpEL注入攻击Spring H2 Database Console未授权访问Spring Security OAuth2远程命令执行漏洞(CVE-2016-4977)Spring WebFlow远程代码执行漏洞(CVE-2017-4971)Spring Data Rest远程命令执行漏洞(CVE-2017-8046)Spring Messaging远程命令执行漏洞(CVE-2018-127...
Spring Boot Actuator 漏洞利用
rev1ve的博客
11-02 1141
2.x版本1.x版本这个端点会泄露Spring 的 ConfigurableEnvironment 公开属性,其中包括系统版本,环境变量信息、内网地址等信息,但是一些敏感信息会被关键词匹配,做隐藏*处理,但是如果开发的密码字段不规范,可能直接导致泄露数据库密码。
Spring 框架相关漏洞详解合集
zjjcchina的博客
01-19 4561
虽说是 Spring 框架漏洞,但以下包含并不仅 Spring Framework,Spring Boot,还有 Spring CloudSpring Data,Spring Security 等。 CVE-2010-1622 Spring Framework class.classLoader 类远程代码执行 影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、SpringSource Spring Framework 2.5.0 - 2.5.7
SpringBoot历史漏洞复现_springboot漏洞,2024年最新真的醉了
m0_62289824的博客
04-15 2739
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~(img-yTSj4IpJ-1713175561720)]//转化的格式base。//反弹shell脚本。
组件攻击一文Spring全家桶各类RCE漏洞
HBohan的博客
01-18 982
一、Spring全家桶简介 Spring发展到现在,全家桶所包含的内容非常庞大,这里主要介绍其中关键的5个部分,分别是spring framework、 springboot、 spring cloudspring security、spring mvc。其中的spring framework就是大家常常提到的spring, 这是所有spring内容最基本的底层架构,其包含spring mvc、springboot、spring core、IOC和AOP等等。Spring mvc就是spring中的一个.
盘点:Spring全家桶各类历史RCE漏洞浅析,没你想的难
lt_xiaodou的博客
10-10 429
Spring mvc就是spring中的一个MVC框架,主要用来开发web应用和网络接口,但是其使用之前需要配置大量的xml文件,比较繁琐,所以出现springboot,其内置tomcat并且内置默认的XML配置信息,从而方便了用户的使用。下图就直观表现了他们之间的关系。其实都用了SpEL表达式,不过addModelBindings方法传入的参数的是上面提到的binder,是写死在xml文件中的,无法去更改,所以这里面就考虑当没配置binder的情况下走进addDefaultMapping方法的情况。
Spring Boot Actuator H2 RCE漏洞复现
玄道的网安博客
01-19 3378
漏洞概述 Spring Boot框架是最流行的基于Java的微服务框架之一,可帮助开发人员快速轻松地部署Java应用程序,加快开发过程。当Spring Boot Actuator配置不当可能造成多种RCE,因为Spring Boot 2.x默认使用HikariCP数据库连接池,所以可通过H2数据库实现RCE。 环境搭建 先把git项目克隆下来 git clone https://github.com/spaceraccoon/spring-boot-actuator-h2-rce...
CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析
m0_61506558的博客
09-18 7869
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击攻击者可以发送特制的恶意请求,从而远程执行任意代码。(二)漏洞复现。
Spring RCE 漏洞 CVE-2022-22965复现分析
m0_61506558的博客
09-19 5697
关于CVE-2022-22965漏洞的环境调试和内容,网上看了一波,感觉有些知识点内容还是必须要了解才能理解该漏洞,为此详细写了下从Spring框架结构分析,环境搭建到漏洞分析调试整体的一个过程理解,在遇到其他类型的漏洞也可以去调试运用。(一)了解Spring框架由于本文主要介绍漏洞原理流程,所以有关框架不会具体展开,会将涉及到的内容进行解释。1、
Springboot之Actuator信息泄露漏洞利用
热门推荐
JHIII的博客
08-30 3万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
组件攻击Spring全家桶各类RCE漏洞浅析
further_eye的博客
12-07 3356
尽管近期没有出现相关漏洞,但这些高风险漏洞依然不可忽视。本文涉及漏洞大多不需要复杂的配置就可以直接攻击成功,执行任意代码,危害较大。故开发者在使用Spring进行开发的过程中,一定要关注其历史风险点,规避高危漏洞,减少修改不必要的配置信息。
Spring RCE远程执行漏洞(CVE-2022-22965)
tpaer的博客
10-18 2640
这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞
Spring framework deserialization RCE漏洞分析以及利用1
08-08
Spring框架中的反序列化漏洞可能与JNDI RCE相关,因为Spring允许在某些组件中使用反序列化,比如`HandlerInstantiationInterceptor`。当恶意对象在Spring框架处理请求时被反序列化,如果能够控制`codebase url`,...
Spring Rce 漏洞分析CVE-2022-22965
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞(CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
Spring_Rce分析
qq_42383069的博客
04-06 587
Spring_Rce分析 1. ClassLoader 就是类加载器,ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序就可以正确运行了 2. 漏洞利用的条件 Web 应用程序是基于 Spring Framework 构建的(例如 Spring Boot) Web 应用程序在 JDK 9 或任何更高版本 Web 应用程序使用数据绑定将请求参数绑定到 Java 对象 3. 漏洞利用的两个阶段 2.1 覆盖 Tomcat 特定的ClassLoader属性,将访问日志文件路径更改为
spring--RCE
金灰的博客
08-06 481
新加入的特性没有兼容旧的漏洞修补,造成漏洞利用的绕过.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

倾听铃的声

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值