【web安全】Spring Boot eureka xstream 反序列化

最新推荐文章于 2024-12-25 10:45:00 发布
原创 最新推荐文章于 2024-12-25 10:45:00 发布 · 3.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #spring boot #eureka #网络安全

本文详细介绍了Spring Boot Eureka中的一个安全漏洞,该漏洞允许攻击者通过XStream反序列化实现远程代码执行(RCE)。文章讲解了漏洞的利用条件,包括目标可出网、特定版本的eureka-client以及存在的特定依赖。此外,还提供了漏洞利用步骤,包括设置恶意payload、监听服务和刷新配置,最终导致shell反弹。最后,文章提到了修复措施,如禁用/env接口或增加鉴权,并列举了其他可能被利用的接口。

一、漏洞概述

Eureka 是 Spring Cloud Netflix 模块的子模块,它是 Spring Cloud 对 Netflix Eureka 的二次封装,主要负责 Spring Cloud 的服务注册与发现功能,开发人员只需引入相关依赖和注解轻松将 Spring Boot 与 Eureka 进行整合。

安全人员(Michael Stepankin)发现,服务注册与发现功能可能被滥用,当 eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL地址并/refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。目标机器解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。

二、利用条件

1.目标可出网

2.目标使用的 eureka-client < 1.8.7(存在 spring-cloud-starter-netflix-eureka-client 依赖)

3.可用 POST 方式请求目标网站的 /env 接口,并设置zone属性

4.可用 POST 方式请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)

三、漏洞环境

Web服务器:Windows Server 2012, JDK8u131 (1.13.190.222)

VPS: Ubuntu 16.04.7 LTS (162.14.73.205)

四、正常访问

访问URL: http://1.13.190.222:64000/env , 得到一些json格式的敏感数据。

五、漏洞利用

【私信回复“资料”获取】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

提前在VPS服务器准备相关文件和监听服务,利用VPS python起的fake server 串联调用执行代码。

最低0.47元/天 解锁文章
网络安全 | Java代码审计】利用 Spring Boot Actuators 漏洞
等风来
11-20 3606
Spring Boot 框架内置了多个用于监控和管理应用程序的Actuator功能。这些功能可以帮助开发者执行审计、健康检查以及收集系统指标。然而,如果配置不当,Actuators 端点可能成为攻击者利用的“后门”,从而暴露敏感信息或使应用程序处于攻击者控制之下。
2021-11-15 eureka xstream deserialization RCE复现分析
为之的博客
11-17 1904
漏洞成因 通过对/env进行post提交将eureka.client.serviceUrl.defaultZone的值修改为外部恶意url,然后通过/refresh post提交后,解析url内的xstream反序列化出命令执行代码 调试过程 先了解原理,可知通过/refresh会把外部恶意payload获取并解析,也就是说,导致这次漏洞形成的代码块应该在请求以及响应部分中。 开头先是以DispatchServlet来开始,一步一步去找到哪里会调用calc,调试断点如图所示: 在调试过程中会出现自动弹出计
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 1万+
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
XStream 反序列化命令执行漏洞(CVE-2021-29505)
EC_Carrot的博客
08-21 906
漏洞简介 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。 漏洞复现 我们需要自己的服务器上使用ysoserial的JRMPListener启动一个恶意的RMI Registry: java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099
Spring Boot Actuator未授权访问远程代码执行_eureka_XStream反序列化
MD@@nr丫卡uer
07-16 4341
文章目录漏洞复现扫描探测RCE(1)编写利用脚本(2)设置 eureka.client.serviceUrl.defaultZone 属性(3)触发(4)恢复 eureka.client.serviceUrl.defaultZone 漏洞复现 扫描探测 使用的工具为:SB-Actuator 使用工具扫描发现目标地址存在Spring Boot Actuator未授权访问,可导致XStream反序列化RCE。 RCE (1)编写利用脚本 执行的命令为ping DNSlog #!/usr/bin/env pyt
亿赛通电子文档安全管理系统 XStream反序列化 RCE
qq_36334672的博客
01-26 1159
【代码】亿赛通电子文档安全管理系统 XStream反序列化 RCE。
eureka xstream deserialization RCE复现
12-08 1041
eureka xstream deserialization RCE复现
Spring-boot远程代码执行系列(eureka xstream deserialization RCE)
网络安全。
10-05 6477
0x1 漏洞原理 1.eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址。 2.refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。 3.目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。 0x2 漏洞利用条件 1.可以 POST 请求目标网站的 /env 接口设置属性 2.可以 POST 请求目标网站的
Xstream反序列化分析(CVE-2021-39149)
zkaqlaoniao的博客
01-04 1909
前几个月XStream爆出一堆漏洞,这两天翻了翻,发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架,按照XStream官方补漏洞的习惯,应该不会再接受新的绕过黑名单的漏洞了。
XStream 反序列化命令执行漏洞复现(CVE-2021-21351)
Vitaminapple的博客
04-19 2396
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
xstream序列化与反序列化
06-07
xstream中xml与javaBean的互转
EurekaLog(程序漏洞分析检测工具)forwindowsV7.6.6.3.0安装版
08-01
EurekaLog是一个针对Delphi和C Builder的程序漏洞分析检测工具,能够帮助开发人员抓取异常和泄漏、并支持简单的项目完成修复工作,可兼容EXE压缩包,帮助用户快速检测到自己应用的漏洞。需要的朋友可以前来本站下载。 软件介绍 EurekaLog是针对Delphi和C Builder一个新的追踪异常的工具,使您的应用程序(如GUI、控制台、网络等)可捕捉所有异常,内存泄漏和检测
XStream(序列化/反序列化)
abc89062的博客
08-07 324
http://www.jroller.com/CoBraLorD/entry/net_transparent_xml_serialization_xstream 转载于:https://www.cnblogs.com/wangpy/archive/2009/08/07/1541249.html
springboot解决fastJson反序列化漏洞
qq_42184571的博客
01-24 1383
springboot解决fastJson反序列化漏洞 1.fastJson版本升级为>1.2.66 **启动类添加** //解决fastJson反序列化漏洞,关闭autoType static { ParserConfig.getGlobalInstance().setSafeMode(true); }
spring eureka漏洞_Spring boot相关漏洞利用(1)
weixin_39690958的博客
12-09 1万+
Spring bootSpring 的一套快速配置脚手架,可以基于spring boot 快速开发单个微服务,Spring Boot,看名字就知道是Spring的引导,就是用于启动Spring的,使得Spring的学习和使用变得快速无痛。不仅适合替换原有的工程结构,更适合微服务开发。Spring Cloud基于Spring Boot,为微服务体系开发中的架构问题,提供了一整套的解决...
Spring Boot Actuator(eureka xstream deserialization RCE)
weixin_50464560的博客
07-14 1387
正常访问 运行之后是这个样子 spring 2.x 首先证明目标可以出网 spring 2.x 执行完了刷新以后可以收到请求记录则证明目标机器可以出网,否则不能出网 再访问目标网址(发现网址已经被写入) 执行写入操作 执行刷新操作 此时去服务器看请求记录(如果收到如下请求则证明没有问题,如果没有put则有问题)...
#渗透测试#漏洞挖掘#红蓝攻防#漏洞挖掘#未授权漏洞-Spring Eureka 未授权访问漏洞
最新发布
soc的博客
12-25 2844
Spring EurekaSpring Cloud框架中的一个核心组件,主要用于实现微服务之间的服务发现和服务治理功能。
小心,别被eureka坑了
steven2xupt的博客
04-14 1621
Eureka是Netflix开发的服务发现框架,本身是一个基于REST的服务,主要用于定位运行在AWS域中的中间层服务,以达到负载均衡和中间层服务故障转移的目的。SpringCloud将它集成在其子项目spring-cloud-netflix中,以实现SpringCloud的服务发现功能。 Eureka包含两个组件:Eureka Server和Eureka Client。具体怎么部署这里就不说了,直接说问题 Eureka 客户端注册时需要配置服务端地址,类似如下配置 eureka: instance.
Java配置47-Spring Eureka 未授权访问漏洞修复
热门推荐
JustDI0209的博客
11-03 1万+
Spring Security 5.7.0-M2 中,WebSecurityConfigurerAdapter 被弃用了,Spring 鼓励用户转向基于组件的安全配置。这是因为从 Spring Boot 2.0 开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,导致服务注册失败。实在没招了,只能怀疑用的框架版本太低,去重新整一个,eureka 就用了个服务发现,问题不大。刷新 eureka 页面,也没有服务信息,服务注册失败了。我试了几个方法,没有替换掉,靠你了,耿小姐。
webflux webclient自定义序列化soap协议
09-25
WebFlux和WebClient是Spring框架中的非阻塞Web客户端库,它们通常用于构建高性能、异步的网络应用程序。当涉及到SOAP(简单对象访问协议)这种基于XML的通信时,由于其复杂性和对结构化的请求和响应要求,自定义序列化变得至关重要。 在WebClient中,你可以通过以下几个步骤来处理SOAP协议并自定义序列化: 1. **添加依赖**:首先需要添加支持SOAP的第三方库,如`spring-ws`或`cxf-reactive`。 ```groovy dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' implementation 'org.springframework.cloud:spring-cloud-starter-netflix-eureka-client' implementation 'org.springframework.ws:spring-ws-starter' } ``` 2. **创建SoapMessageConverter**:你需要创建一个自定义的`MessageConverter`,它将SOAP消息转换为你所需的对象类型。例如,可以使用`XStream`或`JAXB`(Java Architecture for XML Binding)进行XML到Java对象的映射。 ```java @Bean public MessageConverter soapMessageConverter() { XStream xstream = new XStream(); // 配置XStream以解析SOAP消息 return new MappingJackson2XmlHttpMessageConverter(xstream); } ``` 3. **配置WebClient**:在WebClient的设置中,应用自定义的`MessageConverter`。 ```java @Bean public WebClient webClient(BeanFactory beanFactory) { List<HttpMessageConverter<?>> converters = new ArrayList<>(); converters.add(soapMessageConverter()); converters.addAll(beanFactory.getBean("httpMessageConverters", List.class)); return WebClient.builder() .messageConverters(converters) .build(); } ``` 4. **发送SOAP请求**:现在你可以使用WebClient发送SOAP请求了,比如: ```java Mono<ServerResponse> response = WebClient.create("https://your-soap-api.com") .retrieve() .bodyToMono(SoapResponse.class); ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值