Spring RCE 漏洞

最新推荐文章于 2024-11-27 15:17:33 发布
最新推荐文章于 2024-11-27 15:17:33 发布
阅读量513 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络安全 web安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangsenlingl/article/details/123836586
本文提供了一套针对Spring框架漏洞的排查与修复方案,包括JDK版本排查、Spring框架使用情况排查、综合判断方法以及两种修复建议。适用于网络安全人员进行系统安全检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

​本文由Scynull编译,校对,转载请注明。

免责申明

    归零安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
    本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

JDK版本号排查

1.JDK版本排查

在业务系统的运行服务器上,执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响

2.Spring框架使用情况排查

第一种

如果业务系统项目以war包形式部署,按照如下步骤进行判断。
解压war包:将war文件的后缀修改成.zip ,解压zip文件

在解压缩目录下搜索是否存在 spring-beans-.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。

如果spring-beans-.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了Spring框架开发。

第二种

如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断。
解压jar包:将jar文件的后缀修改成.zip,解压zip文件。

在解压缩目录下搜索是否存在spring-beans-.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。

如果spring-beans-.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了spring框架进行开发。

3.综合判断

在完成以上两个步骤排查后,同时满足以下两个条件可确定受此漏洞影响:
JDK版本号在9及以上的;

使用了spring框架或衍生框架。

4.修复建议

目前,spring官方无官方补丁,建议采用以下二个临时方案进行防护,并及时关注官方补丁发布情况,按官方补丁修复漏洞。

1.WAF防护

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对“class.”“Class.”“.class.”“.Class.”等字符串的规则过滤,并在部暑过滤规则后,对业务运行情况进行测试,避免产生额外影响。

2.临时修复措施

需同时按以下两个步骤进行漏涧的临时修复:
在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{“class.”,“Class. “,”. class.”, “.Class.”}。

(注:如果此代码片段使用较多,需要每个地方都追加)

在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new string[]{"class.","Class.",".class.",".Class."};
dataBinder.setDisallowedFields(abd);
}
}

后续更新可以关注我的公众号,刚刚做公众号,大佬勿喷!

公众号

Spring RCE漏洞分析与编程学习
IELLQUI8的博客
09-23 183
为了防止此类漏洞的发生,开发人员应该采取适当的安全措施,如限制反序列化的类、及时更新Spring RCE Vulnerability Analysis and Programming Learning。当应用程序使用Spring框架处理用户提供的数据时,如果没有适当的安全措施,攻击者可以构造恶意代码并注入到应用程序中,从而实现远程执行任意代码的能力。当Spring框架反序列化用户提供的数据时,如果没有正确地验证和控制数据的内容,攻击者可以构造特定的序列化对象,触发远程代码执行。2.1. 限制反序列化的类。
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE(远程命令执行)漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞
网络安全Spring框架漏洞总结(二)
2201_75857562的博客
01-13 385
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防
互联网架构小马的博客
10-20 652
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。 Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成
框架注入漏洞
conkeyn的专栏
02-27 5678
  2 详细描述 攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。 解决办法 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号...
spring--RCE
金灰的博客
08-06 579
新加入的特性没有兼容旧的漏洞修补,造成漏洞利用的绕过.
检测到目标url存在框架注入漏洞_Django JSONField SQL注入漏洞复现(CVE-2019-14234)
weixin_40000131的博客
11-22 1066
0x00 简介Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件,使得Django具有较强的可扩展性。0x01 漏洞概述该漏洞需要开发者使用了JSONFie...
Spring Rce 漏洞分析CVE-2022-22965
热门推荐
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞(CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
Spring 框架RCE 安全漏洞及解决方式
oscar999的专栏
03-31 1万+
SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE漏洞RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
检测到目标url存在框架注入漏洞_CheckXSS:基于 Python3 的跨站脚本漏洞检测工具...
weixin_39611037的博客
11-27 1248
一、工具安装下载地址项目地址:Jewel591/CheckXSS或使用 git 命令直接克隆项目到本地:git clone https://github.com/Jewel591/CheckXSS.git环境搭建注意:需要使用 python 3.6, python3.7 由于字符转义问题,运行会报错。进入项目目录,使用 pip 安装 python 模块:pip3 install -r requir...
Spring Framework远程代码执行漏洞(CVE-2022-22965)
qq_50854662的博客
06-27 1215
Spring Framework远程代码执行漏洞(CVE-2022-22965)
Spring_Rce分析
qq_42383069的博客
04-06 641
Spring_Rce分析 1. ClassLoader 就是类加载器,ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序就可以正确运行了 2. 漏洞利用的条件 Web 应用程序是基于 Spring Framework 构建的(例如 Spring Boot) Web 应用程序在 JDK 9 或任何更高版本 Web 应用程序使用数据绑定将请求参数绑定到 Java 对象 3. 漏洞利用的两个阶段 2.1 覆盖 Tomcat 特定的ClassLoader属性,将访问日志文件路径更改为
Spring Framework JDK >= 9 远程代码执行漏洞(CVE-2022-22965)
Flag少侠的博客
07-15 1万+
打开靶场什么都没有网上查找到了 Poctry:print(e)passExploit(i)main()requests: 用于发送HTTP请求。argparse: 用于解析命令行参数。urljoin: 用于将基础URL与相对路径组合成一个完整的URL。headers: 设置HTTP请求头。suffix: 指定生成的JSP文件的结束标记。c1和c2: 替换变量,用于在请求数据中插入Runtime和
最新漏洞Spring Framework远程代码执行漏洞
「 虚幻私塾」
04-01 561
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 Spring Framework远程代码执行漏洞 发布时间 2022-03-31 漏洞等级 High CVE编号 CVE-2022-22965 影响范围:同时满足以下三个条件可确定受此漏洞影响: JDK 版本 >= 9 使用了 Spring 框架或衍生框架 项目中
链接或框架注入漏洞原理以及修复方法
it知识分享 free for nothing..
02-02 2332
链接或框架注入漏洞原理以及修复方法
java 框架注入漏洞修复_Mybatis框架下易产生SQL注入漏洞的场景和修复方法
weixin_32206303的博客
02-28 1357
一、Mybatis框架下易产生SQL注入漏洞的场景在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中。通过查看这些与数据库交互的配置文件来确定SQL语句中是否存在拼接情况,进而确立跟踪点。通过总结,Mybatis框架下易产生SQL注入漏洞的情况有以下三种:1. 模糊查询 like以新闻详情页面为例,按照新闻标题对新闻进行模糊查询,如果考虑安全编码规范...
Spring框架常见漏洞
本散修的一些学习心得与笔记,道友请自便。
09-17 1441
本篇文章主要是内容常见Spring漏洞的解析以及理解。
Spring RCE漏洞分析1(CVE-2018-1270)
hldfight
05-04 8679
0x00 前言 趁着五一休息,分析了一下Spring的历史漏洞,这里记录一下对Spring-Messaging远程代码执行漏洞(CVE-2018-1270)的分析。该漏洞涉及到如下概念: 1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据,详情可以参考这里,讲的挺好的。 2、SockJS,一个JavaScript库,它在浏览...
spring +fastjson 的 rce
2401_83799022的博客
11-27 1445
可以看到这里是有一个逻辑的,先把 delegate 输入流的字节码转成 int 数组,然后拿 ByteOrderMark 里的 bytes 挨个字节遍历去比对,如果遍历过程有比对错误的 getBom 就会返回一个 null,如果遍历结束,没有比对错误那就会返回一个 ByteOrderMark 对象。众所周知,spring 下是不可以上传 jsp 的木马来 rce 的,一般都是控制加载 class 或者 jar 包来 rce 的,我们的 fastjson 的高版本正好可以完成这些,这里来简单分析一手。
Spring boot RCE漏洞
最新发布
01-09
### 关于Spring Boot RCE漏洞的详细信息 Spring框架中的远程代码执行(RCE)漏洞允许攻击者通过网络发送特制请求,在目标服务器上执行任意命令或代码。这种类型的漏洞极其危险,因为它可以给予攻击者完全控制系统的能力[^2]。 #### 漏洞影响范围 此特定版本的RCE漏洞主要影响使用了某些配置下的Spring应用程序。特别是当应用暴露了HTTP接口,并且这些接口能够接收并处理不受信任的数据输入时,就可能存在安全隐患。例如,如果程序中有地方会将用户提交的内容直接用于Java对象反序列化操作,则可能成为攻击面之一[^3]。 #### 漏洞成因分析 该漏洞源于Spring框架内部对于外部数据解析过程中存在的逻辑缺陷。具体来说,在处理一些特殊形式的参数传递时未能充分验证其安全性,从而让恶意构造的数据有机会绕过正常的安全机制,最终触发底层JVM环境下的不安全行为——即实现了所谓的“远程代码执行”。 ```java // 不安全的代码片段可能导致RCE风险 @RequestMapping("/unsafeEndpoint") public ResponseEntity<String> unsafeMethod(@RequestParam String userInput){ // 假设这里存在未经严格校验便使用的userInput变量... } ``` 为了防止此类问题的发生,应当遵循最小权限原则设计API接口;同时加强对所有来自客户端的数据进行严格的过滤与转义处理,避免任何潜在可利用之处被暴露出来。 ### 修复方案及防护建议 针对已知的Spring Shell(也称为Spring4Shell)这一具体的CVE编号尚未正式发布的高危RCE漏洞,官方已经采取行动发布了更新来修补它: - **立即升级依赖库**:确保所使用的Spring Framework及其关联组件均为最新稳定版。根据官方公告,受影响的应用应该尽快迁移到不低于`5.3.18` 或 `5.2.20` 版本之上。 - **移除不必要的功能模块**:审查当前项目结构,去除那些不再需要或者很少用到的功能特性,尤其是涉及到动态加载类、脚本解释器等功能的部分,因为它们往往是引发这类漏洞的关键因素。 - **加强输入验证**:无论何时都应保持警惕对待任何形式的外部输入源,实施全面而细致的数据清洗策略,包括但不限于字符串截断、字符替换以及正则表达式的运用等手段,以此降低遭受注入式攻击的风险水平。 - **启用WAF/Web防火墙保护**:部署Web Application Firewall (WAF), 可以为网站提供额外一层防御屏障,阻止非法流量到达后端服务之前就被拦截下来,有效缓解未知威胁带来的冲击力。 - **定期开展渗透测试活动**:建立持续性的安全审计流程,邀请专业的第三方团队模拟黑客入侵场景对企业信息系统进行全面体检,及时发现隐藏较深的技术短板加以改进优化。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

五木徒羚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值