Spring data rest漏洞在IDEA中复现(CVE-2017-8046)

最新推荐文章于 2024-05-31 19:04:00 发布
最新推荐文章于 2024-05-31 19:04:00 发布
阅读量1.2k 收藏
点赞数 4
分类专栏: Spring漏洞在IDEA中复现 文章标签: spring intellij-idea java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxzyyds/article/details/127713127
版权

一.环境准备
本次环境准备的流程与之前文章相同,所以简述以下,首先就是根据vulhub下spring文件中CVE-2017-8046文件,之后docker-compose up -d就会启用对应靶场,之后利用docker ps查看进程ID
在这里插入图片描述之后根据对应的容器ID进入对应容器

在这里插入图片描述之后ls查看目录下面有什么文件
在这里插入图片描述看到spring-rest-data-demo-2.0.0.BUILD.jar文件就可以知道这是一个springboot程序,之后退出容器利用docker ps e33897b9164a:/spring-rest-data-demo-2.0.0.BUILD.jar /home/ubuntu命令就可以将这个jar文件复制到家目录中,之后就可以下载下来这个文件放入jd-gui中进行反编译,之后结果为在这里插入图片描述之后将对应文件放入IDEA中,记住要将包名进行修改。在这里插入图片描述
对应文件如上图,自此就完成了对于环境的搭建。
二.漏洞复现
本次漏洞的成因主要是PATCH方法处理不当,导致攻击者能够利用JSON数据造成RCE,主要原因还是对于SPEL表达式没有进行过滤,稍后会详细阐述原因。
因此本次复现只需要首先打开对应springboot项目,之后在浏览器输入http://127.0.0.1:8080在这里插入图片描述
就会出现对应的json解析后的样式,之后点击customers进入
在这里插入图片描述进入至此就可以利用burp进行抓包之后修改对应数据
在这里插入图片描述对饮输入的json数据就是通过replace实现对于path中的spel表达式进行命令执行,由于我本机为windows操作系统,因此new byte[]{99,97,108,99}代表calc命令,如果可以正常弹出计算器就可以说明可以执行命令执行,点击发包
在这里插入图片描述在这里插入图片描述可以看到对应的相应包以及弹出计算器的界面,因此说明本次漏洞复现成功。
三.漏洞原理
本次漏洞原理分析主要是从org.springframework.data.rest.webmvc.config包下的JsonPatchHandler类中的apply方法开始,这个方法主要的用处就是处理Json请求的。
首先我们按两次shift在IDEA中全局搜索JsonPatchHandler这个类,知道找到对应的apply方法
在这里插入图片描述之后再这个打一个断点,然后启动IDEA的debug模式,用burp发包
在这里插入图片描述之后我们运行到这里,看一下具体的语句

return request.isJsonPatchRequest() ? this.applyPatch(request.getBody(), target) : this.applyMergePatch(request.getBody(), target);

这个就是一个三目比较,首先根据提示找到isJsonppatchRequest()方法,我们只需要按住ctrl健,然后鼠标移动到方法名字上面点击就可以跳转到对应的方法实现中去
在这里插入图片描述在这里插入图片描述这里有两个方法,首先是判断请求的方法是否为PATCH之后判断以下contentType是否为application/json-patch+json,因此在我们之前发包时必须注意这两点
之后回到之前的方法中去如果判断成功我们就会进入到applyPatch方法中,因此我们继续跟进
在这里插入图片描述运行到这里我们就可以知道target就是我们需要改的数据
在这里插入图片描述根据上述函数名字我们可以大概了解到主要目的就是获得Patch需要修改的操作方法,我么传入的时replace方法因此最终一定会和这个有关
在这里插入图片描述之后进入到实现方法中,找到convert也就是转换方法
在这里插入图片描述这部分看上去代码可能很长但是实际就是为了创造我们需要replace因此ops中加入一个ReplaceOperation这个类这个方法最终结束的时候

return new Patch(ops);

因此我们去寻找Patch的构造方法
在这里插入图片描述是传入一个PatchOperation这个列表,之后进入对应的实现方法
在这里插入图片描述发现有对应的spel表达式也就是要解析我们需要的el表达式,我们进入到pahToExpression()方法查看对应的实现
在这里插入图片描述
其中SPEL_EXPRESSION_PARSER的定义如下,其实就是解析path中的spel表达式

private static final SpelExpressionParser SPEL_EXPRESSION_PARSER = new SpelExpressionParser();

因此我们只需要进入到pathToSpEL中查看是否对于输入的参数进行了过滤,如果没有我们就可以进行远程RCE了
在这里插入图片描述对应的方法如上,并没有进行过多的过滤,只是用/进行了分割
在这里插入图片描述此时的path值分割之后正是我们需要的执行语句
之后野兵,没有进行过过滤一直返回到applyPatch方法
在这里插入图片描述这时getPatchOperations方法返回的就是一个Patch对象因此调用Patch对象中的apply方法
在这里插入图片描述到这里就是遍历,因为PatchOperation时一个抽象类,而根据我们刚才的调用发信啊我们现在获得的是ReplaceOperation类了,因此会调用ReplaceOperation中的perform方法
在这里插入图片描述这个方法中还调用了setValueOnTarget方法,因此我们进入跟入
在这里插入图片描述就发现了setValue这个方法,根据spel的规则我们就可以知道到此我们就可以实现远程RCE了,继续debug下一步就可以弹出计算机
在这里插入图片描述到此我们就可以实现对于CVE-2017-8046的完整复现
四.总结
本次CVE复现是根据IDEA中DEBUG模式下一步步跟进的,对于spel也可以做到进一步的了解,对于本次漏洞产生的原因也主要是对于path中的spel表达式解析时,没有考虑到过滤一些恶意攻击的函数,因此导致了远程RCE,在之后的系列文章中也会继续复现相应的java spring漏洞。

A2uRe123
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【vulhub】Spring Data Rest 远程命令执行漏洞CVE-2017-8046漏洞复现验证和getshell。
qq_45300786的博客
08-01 839
漏洞详情 Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。 参考链接: http://xxlegend.com/2017/09/29/Spring%20Data%20Rest服务器PATCH请求远程代码执行漏洞CVE-2017-8046补充分析/ https://tech.meituan.
Spring Data REST 远程代码执行漏洞CVE-2017-8046)分析与复现
一个有情怀的程序猿博客
06-30 1058
前言 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发者而言,引入新的工具显然是令人兴奋的,但是对于运维人员,也许是噩耗的开始。类比Struts 2框架,会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞,占据了多少甲方乙方工程师的夜晚/周末,这导致Struts 2越来越不受待见。 因此,我们有理由相信Spring引入SpEL必然增加安全风险。事实上,过去多个Spring CVE都与其..
spring远程命令执行漏洞复现CVE-2017-8046
最新发布
2301_82197189的博客
05-31 240
Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码。
CVE-2017-8046 Spring Data Rest 远程命令执行漏洞复现(最详细版本)
精品博客,你值得一看~
09-17 663
REST API的Patch方法(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码.先cd到spring目录下的CVE-2017-8046里面,然后使用docker-compose启动环境.一切都准备好之后就可以启动CVE-2017-8046 的环境了.
CVE-2017-8046 复现与分析
weixin_30715523的博客
07-28 286
环境搭建 使用的项目为https://github.com/spring-guides/gs-accessing-data-rest.git里面的complete,直接用IDEA导入,并修改pom.xml版本信息为漏洞版本。这里改为1.5.6。 之前尝试搭建了另一个验证环境,但是修改版本后加载一直报错,不知道是什么原因,写完在研究下。 直接运行,默认端口8080,访问http://lo...
CVE-2017-8046-Spring Data Rest RCE 漏洞复现
m0_58596609的博客
04-22 1127
CVE-2017-8046-Spring Data Rest RCE 漏洞复现
Spring Data Rest 远程命令执行漏洞CVE-2017-8046
黑白的博客
12-20 1208
声明 好好学习,天天向上 漏洞描述 Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。 影响范围 pivotal Spring Data REST < 2.5.12 2.6.7 3.0 RC3 pivotal Spring Boot < 2.0.0M4 pivotal Sprin
CVE-2017-12615-master.zip
09-04
在`CVE-2017-12615-master.zip`文件,可能包含了用于演示漏洞利用的工具和脚本。这些工具通常会模拟一个恶意的HTTP请求,其包含能够触发远程代码执行的OGNL表达式。攻击者可以使用这些工具测试他们的目标系统...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
CVE-2017-7921海康威视配置文件解码(configfile解码)
12-11
具体影响产品型号,请参考CVE-2017-7921;CVE-2017-7922漏洞详情。该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。(ps:工具不会使用可以私信我,直接差评的一律自理)
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Spring Data Rest-远程命令执行漏洞CVE-2017-8046
qq_43381463的博客
04-11 453
Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法,path的值被传入`setValue`,导致执行了SpEL表达式,触发远程命令执行漏洞
这款 IDEA 插件,检测代码漏洞,一键修复,真是太厉害了!这款 IDEA 插件,检测代码漏洞,一键修复,真是太厉害了!...
weixin_44421461的博客
11-12 1005
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~文详细注释的开源项目RPC 框架 Dubbo 源码解析...
Spring Data Rest远程命令执行漏洞复现CVE-2017-8046
wutiangui的博客
09-10 394
Spring Data Rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者通过构造好的JSON数据来执行任意Java代码。将Content-Type指定为application/json-patch+json。使用python将准备执行的代码编码为十进制。访问以下链接,出现如下界面说明存在漏洞。1.准备shell命令。修改方法改为PATCH。
IDEA 2017下载安装使用教程(手把手,保姆级安装,非常详细!)
qq_44713772的博客
04-24 8163
前言: 最近开始重新学java,但是之前用的是eclipse,感觉现在用idea的人特别多,之前安过idea,但是安装失败了,找激活找了很久,结果一个更新,激活就没用了,所以一气之下就把idea卸载掉了,还有就是感觉换了个IDE要适应很久,所以后面一直都懒得安装,现在网上的课基本上都是用的idea,所以为了后面听网课方便,就安装重新安装了idea,为了让更多像我一样的小白能够顺利安装idea,所以就分享了一下我的安装教程。(超级详细,手把手教安装) 一、下载 IDEA官网下载:https://www.jet
Spring漏洞(CVE-2016-4977)在IDEA复现
wxzyyds的博客
11-03 1271
复现SpringCVE-2016-4977),并且在IDEA实现动态调试
Springboot+thymeleaf+IDEA——SpEL表达式
简简单单Onlinezuozuo
05-29 5750
文章目录Springboot+thymeleaf+IDEA——SpEL表达式1、基本表达式2、算术表达式3、对象导航4、对象实例化5、T表达式6、内联表达式 Springboot+thymeleaf+IDEA——SpEL表达式 1、基本表达式 <!-- 判断相等 --> <i th:text="${banner.imgUrl eq '1'}"></i> &lt...
cve-2017-7504漏洞复现
08-23
您好!对于CVE-2017-7504漏洞复现,请注意以下几个步骤: 1. 确认受影响的软件版本:CVE-2017-7504是一个Apache Struts 2框架的远程代码执行漏洞。在复现之前,请确保目标系统运行的是受影响的Apache Struts 2版本。 2. 搭建相应的环境:您可以在漏洞复现环境使用Apache Struts 2漏洞测试框架,例如Metasploit或其他可用的漏洞测试工具。 3. 指定目标URL:使用合适的工具,指定目标URL以进行漏洞利用。通常,您需要提供目标系统上受影响的Struts 2应用程序的URL。 4. 发起攻击:使用漏洞利用工具执行相应的攻击代码。具体的攻击方法取决于您使用的工具和漏洞利用脚本。 请注意,漏洞复现属于未经授权的活动,可能违反法律法规,因此我们强烈建议仅在合法授权和合规测试范围内进行漏洞复现。此外,对于未经授权或非法目的使用该漏洞进行攻击是违法行为,且可能导致严重后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值