SpringCore RCE 1day漏洞复现(NSSCTF Spring Core RCE)

简介: 在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。

漏洞描述:

作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

  • 使用JDK9及以上版本的Spring MVC框架
  • Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

漏洞影响范围:

  • JDK9 <= Spring Cloud Function
  • 执行“java-version”命令可查看JDK版本

复现过程

用的nssctf平台的环境

在这里插入图片描述

启动一个环境

在这里插入图片描述

用于这个平台的环境太拉跨了动不动就崩,手工写shell中间可能中途有一步没成功就写不进去,就直接使用exp了(EXP暂不公布)

手工思路大致是是 利⽤class 对象构造利⽤链,修改Tomcat的⽇志配置,向⽇志中写⼊shell

在这里插入图片描述

ok已经写进去shell了

打开shell地址

在这里插入图片描述

已经是root权限了,接下来是找flag了,看了下目录并没有发现疑似flag的,经过战队内师傅提示是在环境变量里面在这里插入图片描述

flag果然在里面

解决方案(临时):

目前Spring官方并没有发布与此漏洞相关的补丁文件,相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播,鉴于Spring MVC的广泛应用,各企业仍需警惕远程攻击者,并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。

临时方案1:WAF临时策略

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对:

“class.*”,“Class.*”,“*.class.*”,“*.Class.*”

等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。

临时方案2:临时缓解措施

在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class a{
@InitBinder
public void setAllowedFields(WebDataBinder dataBinder) {
String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
目录
相关文章
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
118 1
|
安全 Java Spring
Spring Core
Spring Core
|
Java 调度 Spring
spring core
spring core
|
安全 Java Serverless
spring cloud function spel表达式注入RCE复现
spring cloud function spel表达式注入RCE复现
254 0
|
Java Spring
Spring core项目的创建与使用(下)
Spring core项目的创建与使用(下)
|
Java Maven Spring
Spring core项目的创建与使用(上)
Spring core项目的创建与使用(上)
105 0
|
Web App开发 安全 Java
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
204 0
|
Web App开发 安全 前端开发
RedMonk最新编程语言排行榜;Spring 框架现 RCE 漏洞……|叨资讯
该问题首先由 AntGroup FG 的 codeplutos, meizjm3i 于周二晚间,接近格林威治标准时间午夜时分向 VMware 报告。周三,官方进行了调查、分析、确定修复、测试,同时瞄准周四的紧急发布。与此同时,同样在周三,详细信息已在网上全面泄露,这就是官方在发布和 CVE 报告之前提供此更新的原因。
RedMonk最新编程语言排行榜;Spring 框架现 RCE 漏洞……|叨资讯
|
开发框架 Java .NET
ASP.NET Core微服务之基于Steeltoe使用Spring Cloud Config统一管理配置
本文极简地介绍了一下Spring Cloud Config,并快速构建了一个用于演示的Config Server,然后通过Steeltoe OSS提供的Config客户端将ASP.NET Core与Spring Cloud Config进行集成,最后进行了验证能够正常地从Config Server中获取最新的配置内容。
2125 0
|
Java 微服务 Spring
Spring 5 core 中的 @NonNull 是个什么鬼?!
说明 在Spring 5的 spring-core jar包中添加了 jsr-305 相关注解。在 Spring 源码中已经被大量使用。如下图: JSR-305介绍 诸如 FindBugs、IntelliJ、Checkstyle 和 PMD 这样的静态分析工具在 Java 开发中得到了广泛应用。
4109 0
下一篇
无影云桌面