Spring RCE远程执行漏洞(CVE-2022-22965)

原创 已于 2022-11-25 17:38:01 修改 · 2.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #jvm #web安全

于 2022-10-18 17:44:28 首次发布

Spring RCE远程执行漏洞(CVE-2022-22965)

这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞。

影响范围

JDK>8

Spring Framework<5.3.18

Spring Framework<5.2.20

条件

类对象中有get/set方法

Spring controller接口中有对象传入

漏洞原理

User类,有name和Department两个属性

public class User {
   
   
    private String name;
    private Department department;public String getName() {
   
   
        return name;
    }public void setName(String name) {
   
   
        this.name = name;
    }public Department getDepartment() {
   
   
        return department;
    }public void setDepartment(Department department) {
   
   
        this.department = department;
    }}

Department类具有name属性

public class Department {
   
   
    private String name;

    public String getName() {
   
   
        return name;
    }

    public void setName(String name) {
   
   
        this.name = name;
    }
}

一会准备测试的接口,注意:其中并没有调用User的get/set方法

@Controller
public class UserController {
   
   
    @RequestMapping("/testUser")
    public @ResponseBody String testUser(User user) {
   
   
        System.out.println("==testUser==");
        return "OK";
    }
}

打断点后DEBUG启动

在这里插入图片描述
携带参数请求该接口

http://localhost:8888/testUser?name=tpa&department.name=code

User对象没有调用get/set方法但其属性却有了值,这是因为Spring的参数绑定特性,而department.name则是多级绑定。(若department中也存在一个具备name属性的area对象,传入参数department.area.name其属性也会更改。)实际上department.name在后台的调用链路为

User.getDepartment() => Department.setName()

department.area.name则为

User.getDepartment() => Department.getArea() => Area.setName()

在这里插入图片描述
因为是封装类private私有属性,能更改类的属性不直接调用get/set肯定是通过反射了。而JDK自带的一个类PropertyDescriptor就可以通过反射来获取设置对象的属性。实现Spring框架参数绑定自动调用get/set方法的关键类BeanWrapperImpl就是对其进行的封装。

public class PropertyDescriptorTest {
   
   
    public static void main(<
最低0.47元/天 解锁文章
Spring RCE漏洞分析与编程学习
IELLQUI8的博客
09-23 247
为了防止此类漏洞的发生,开发人员应该采取适当的安全措施,如限制反序列化的类、及时更新Spring RCE Vulnerability Analysis and Programming Learning。当应用程序使用Spring框架处理用户提供的数据时,如果没有适当的安全措施,攻击者可以构造恶意代码并注入到应用程序中,从而实现远程执行任意代码的能力。当Spring框架反序列化用户提供的数据时,如果没有正确地验证和控制数据的内容,攻击者可以构造特定的序列化对象,触发远程代码执行2.1. 限制反序列化的类。
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE远程命令执行漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞
Spring RCE 漏洞 CVE-2022-22965复现分析
m0_61506558的博客
09-19 6256
关于CVE-2022-22965漏洞的环境调试和内容,网上看了一波,感觉有些知识点内容还是必须要了解才能理解该漏洞,为此详细写了下从Spring框架结构分析,环境搭建到漏洞分析调试整体的一个过程理解,在遇到其他类型的漏洞也可以去调试运用。(一)了解Spring框架由于本文主要介绍漏洞原理流程,所以有关框架不会具体展开,会将涉及到的内容进行解释。1、
【组件攻击链】Spring全家桶各类RCE漏洞浅析
最新发布
分享Python知识
09-25 790
Spring发展到现在,全家桶所包含的内容非常庞大,这里主要介绍其中关键的5个部分,分别是spring framework、 springbootspring cloud、spring security、spring mvc。其中的spring framework就是大家常常提到的spring, 这是所有spring内容最基本的底层架构,其包含spring mvc、springbootspring core、IOC和AOP等等。
CVE-2022-22965 Spring远程代码执行漏洞复现
weixin_45260839的博客
05-22 4170
CVE-2022-22965 Spring远程代码执行漏洞复现
Spring 远程命令执行漏洞分析(CVE-2022-22965
weixin_43263451的博客
08-14 4487
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架的远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
Spring Framework远程代码执行漏洞CVE-2022-22965
qq_50854662的博客
06-27 1336
Spring Framework远程代码执行漏洞CVE-2022-22965
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的远程命令执行RCE漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
Spring Rce 漏洞分析CVE-2022-22965
热门推荐
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
Spring远程命令执行漏洞
Where_dWanaGo的博客
04-01 649
Spring远程命令执行漏洞 title: spring漏洞记录 subtitle: spring漏洞记录 url:https://radarsoftware.cn/ tags: spring categories: spring Spring漏洞 转载地址:https://mp.weixin.qq.com/s/BnF8CWuUxNliCoa260bEaA Spring RCE远程代码执行漏洞)已被官方证实。 国家信息安全漏洞平台:https://mp.weixin.qq.com/s/BnF8
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 768
Spring框架存在远程命令执行漏洞
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)
日常技术分享
10-16 8959
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)
Spring 框架远程代码执行漏洞CVE-2022-22965
panda的博客
04-08 5085
Spring 框架远程代码执行漏洞(CVE-2022-22965)
Spring Framework JDK >= 9 远程代码执行漏洞CVE-2022-22965
Flag少侠的博客
07-15 1万+
打开靶场什么都没有网上查找到了 Poctry:print(e)passExploit(i)main()requests: 用于发送HTTP请求。argparse: 用于解析命令行参数。urljoin: 用于将基础URL与相对路径组合成一个完整的URL。headers: 设置HTTP请求头。suffix: 指定生成的JSP文件的结束标记。c1和c2: 替换变量,用于在请求数据中插入Runtime和
Spring远程代码执行漏洞(CVE-2022-22965)
huangyongkang666的博客
04-15 1244
Spring远程代码执行漏洞(CVE-2022-22965) 1.漏洞介绍 Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。 漏洞影响范围: Spring Fr
Spring Framework RCE 漏洞分析 (CVE-2022-22965)
m0_61506558的博客
11-07 2146
漏洞的本质类似于php的变量覆盖漏洞,exp利用的话,恰好覆盖到tomcat的配置,并修改tomcat的日志位置到根目录,修改日志的后缀为jsp。但是这里叫SpringMVC的参数绑定。 由于笔者个人水平有限,行文如有不当,还请各位师傅评论指正,非常感谢!
Spring 框架RCE 安全漏洞及解决方式
oscar999的专栏
03-31 1万+
SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE漏洞RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
CVE-2022-22965漏洞利用
08-27
### ### 漏洞原理与攻击方式 CVE-2022-22965,也被称为 **SpringShell**,是 Spring Framework 中一个严重的远程代码执行RCE漏洞。该漏洞的核心在于 Spring MVC 或 Spring WebFlux 应用在处理带有特定数据绑定的请求参数时,允许攻击者通过构造恶意请求,触发基于 Java 的表达式语言(SpEL)的执行,从而在目标服务器上执行任意代码。 此漏洞的利用依赖于 Spring 框架在 JDK 9+ 环境下对 `java.beans.FeatureDescriptor` 类的处理方式。攻击者可以通过构造特定的 HTTP 请求参数,将恶意表达式注入到数据绑定过程中,最终导致远程代码执行。 例如,攻击者可能构造如下请求: ```http POST /test Content-Type: application/x-www-form-urlencoded name=T(java.lang.Runtime).getRuntime().exec("calc") ``` 该请求尝试利用 Spring 的数据绑定机制执行 `calc` 命令,若目标应用未进行有效防护,该命令将在服务器上执行,从而实现远程控制。 Spring Framework 在处理 `@Controller` 或 `@RestController` 注解的类时,若未正确限制表达式解析路径,攻击者可通过构造特定的属性路径触发 SpEL 注入,导致任意代码执行 [^2]。 --- ### ### 漏洞影响范围 CVE-2022-22965 影响以下版本的 Spring Framework: - Spring Framework 5.3.0 至 5.3.17 - Spring Framework 5.2.0 至 5.2.19 - Spring Boot 2.6.x、2.5.x、2.4.x - Spring Cloud Function 3.1.x 及更早版本 该漏洞的利用条件相对宽松,仅需目标应用存在可触发数据绑定的接口即可,因此在互联网暴露面较大的应用中具有较高的风险 [^3]。 --- ### ### 漏洞修复方案 Spring 官方在以下版本中修复了该漏洞- Spring Framework 5.3.18+ - Spring Framework 5.2.20+ - Spring Boot 2.6.8+ - Spring Cloud Function 3.2.4+ 修复的核心机制是限制了对敏感类属性的访问,具体包括: - 在数据绑定过程中禁用对 `class`、`classLoader`、`protectionDomain` 等敏感属性的绑定 - 对表达式解析路径进行限制,防止攻击者通过构造路径访问危险类或方法 开发者应升级至上述修复版本,并确保所有依赖库同步更新。此外,建议在应用中启用安全配置,如限制数据绑定的字段白名单,避免用户输入直接用于表达式解析 [^1]。 --- ### ### 安全加固建议 除了升级框架版本外,还建议采取以下措施增强应用安全性: - **限制数据绑定字段**:在 `@InitBinder` 中配置 `setDisallowedFields` 方法,禁止绑定敏感字段 - **关闭调试信息输出**:避免在生产环境中暴露堆栈信息,防止攻击者获取更多攻击线索 - **使用安全反序列化机制**:启用反序列化白名单,防止不可信数据导致的代码执行 - **启用 Web 应用防火墙(WAF)**:拦截包含 `T(java.lang.Runtime)` 等特征的恶意请求 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值