记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

spring boot (whitelabel error page SpEL RCE) 漏洞复现

2021-10-26 04:29

雨笋教育小编来分享干货了,近期审核关系,大家先看为尽,少一篇是一篇了。

利用条件:

  • spring boot 1.1.0-1.1.12、1.2.0-1.2.7、1.3.0
  • 至少知道一个触发 springboot 默认错误页面的接口及参数名

利用方法:

步骤一:找到一个正常传参处比如发现访问 /article?id=xxx ,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。

步骤二:执行 SpEL 表达式输入 /article?id=${7*7},如果发现报错页面将 7*7 的值 49 计算出来显示在报错页面上,那么基本可以确定目标存在 SpEL 表达式注入漏洞。

由字符串格式转换成 0x** java 字节形式,方便执行任意代码:

# coding: utf-8

result = ""

target = 'calc' # 该处写上要执行的命令,例如calc 弹出计算器

for x in target:

result += hex(ord(x)) + ","

print(result.rstrip(','))

以上 python3 脚本运行后的结果如下:

0x63,0x61,0x6c,0x63

漏洞原理:

  1. spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholderHelper 类中
  2. 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析
  3. 其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行,造成 RCE 漏洞

漏洞环境:

环境搭建:

下载上述漏洞环境项目地址,在本地使用IDEA打开该项目,maven下载好相应依赖后,运行项目

访问本地的9091端口

环境搭建成功

漏洞复现:

访问url

修改id 参数为 ${7*7}

页面报错,回显出7*7的结果,修改为8*8

利用脚本一:

使用脚本生成运行 calc 的byte数组 (hex表示)

# coding: utf-8

result = ""

target = 'calc' # 该处写上要执行的命令,例如calc 弹出计算器

for x in target:

result += hex(ord(x)) + ","

print(result.rstrip(','))

使用payload,系统弹出计算器

利用脚本二:

使用脚本生成运行 calc 的byte数组 (十进制表示)

# coding: utf-8

result = ""

target = 'calc' # 该处写上要执行的命令,例如calc 弹出计算器

for x in target:

result += str(ord(x)) + ","

print(result.rstrip(','))

使用payload,系统弹出计算器

参考文章:

https://www.cnblogs.com/litlife/p/10183137.html

*本文章仅供技术交流分享,请勿做未授权违法攻击,雨笋教育不负任何责任。具体请参考《网络安全法》。

文章来源于互联网:spring boot (whitelabel error page SpEL RCE) 漏洞复现


知识来源: https://secvery.com/6624.html

阅读:61405 | 评论:0 | 标签:漏洞 RCE

想收藏或者和大家分享这篇好文章→复制链接地址

“spring boot (whitelabel error page SpEL RCE) 漏洞复现”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁