本文介绍了如何分析spring-messaging远程代码执行的漏洞。内容非常详细。感兴趣的朋友可以参考一下,希望对你有所帮助。
00-1010 2018年4月5日,Pivotal Spring正式发布安全公告。Spring框架中有三个漏洞,其中编号为CVE-2018-1270的漏洞会导致远程代码执行。
360-CERT对该漏洞做了相关性分析,认为该漏洞影响严重。目前相关PoC已经发布,建议相关用户尽快评估升级。
0x00 漏洞概述
0x01 漏洞影响面
Spring Framework 5.0到5.0.4。
弹簧框架4.3至4.3.14
不受支持的旧版本仍会受到影响。
影响版本
5.0.x用户升级到5.0.5版本。
4.3.x用户升级到4.3.15版本。
00-1010
修复版本
Spring框架通过Spring消息传递模块实现了STOMP(简单的面向文本的消息传递协议)。STOMP是一个简单的消息协议,封装了WebSocket。攻击者可以建立WebSocket连接并发送消息来导致远程代码执行。如果使用Spring Security项目中的权限认证,会在一定程度上增加利用漏洞的难度。
0x02 漏洞详情
当Spring MVC的静态资源存储在Windows系统上时,攻击会通过构造特殊的URL导致目录遍历漏洞。
此漏洞的触发条件很高:
服务器运行在Windows系统上。
文件系统提供的文件服务(例如,使用文件协议,但不打开文件)
CVE-2018-1199漏洞没有修补程序。
不要将Tomcat或WildFly用作服务器
00-1010在Spring MVC或WebFlux应用程序将客户端请求重定向到另一台服务器的场景中,攻击者可能通过构造和污染Multipart类型的请求来攻击另一台服务器。
00-
CVE-2018-1270
CVE-2018-1271
Spring Expression Language是Spring Expression Language的全称,支持查询和操作运行时对象导航图的功能。语法类似于传统的EL,提供了额外的函数,可以进行函数调用和简单的字符串模板函数。
SpEL用法
字符串表达式=’T(java.lang.Runtime)。getRuntime()。exec(/’ calc/’)’;
字符串结果=parser.parseExpression(表达式)。getValue()。toString();00-1010设置春季信息项目演示
其中,静态资源app.js运行在客户端与服务器做websocket交互,使用connect()函数建立Stomp链接。
函数connect(){ 0
var socket=新sockj(‘/GS-guide-web socket ‘);
踏脚客户端=踏脚结束(套接字);
stompClient.connect({},function(frame){ }
setConnected(真);
console.log(‘Connected: ‘框架);
stomp client . subscribe(‘/topic/hello ‘,函数(greeti
ng) {
showGreeting(JSON.parse(greeting.body).content);
});
});
}
Step1
增加一个header头部,添加selector项,value为payload,Stomp协议规范中通过指定selector对订阅的信息进行过滤
Web应用在handleMessageInternal对消息进行处理,注册订阅者registerSubscription,最后调用DefaultSubscriptionRegistry函数对header参数进行处理,对selector值进行了解析,并将其保存至这次会话中。
Step2
点击send向服务器发送任意消息。Spring 在向订阅者分发消息时会调用filterSubscription对消息进行过滤,会执行expression.getValue(context, Boolean.class)造成任意命令执行
补丁分析
补丁地址(https://github.com/spring-projects/spring-framework/commit/e0de9126ed8cf25cf141d3e66420da94e350708a#diff-ca84ec52e20ebb2a3732c6c15f37d37a)
-import org.springframework.expression.spel.support.StandardEvaluationContext;
+import org.springframework.expression.spel.support.SimpleEvaluationContext;
删除了StandardEvaluationContext引用,采用了SimpleEvaluationContext , StandardEvaluationContext可以执行任意SpEL表达式,Spring官方在5.0.5之后换用SimpleEvaluationContext,用于实现简单的数据绑定,保持灵活性减少安全隐患
SimpleEvaluationContext地址(https://github.com/spring-projects/spring-framework/blob/v5.0.5.RELEASE/spring-expression/src/main/java/org/springframework/expression/spel/support/SimpleEvaluationContext.java)
StandardEvaluationContext地址(https://github.com/spring-projects/spring-framework/blob/v5.0.5.RELEASE/spring-expression/src/main/java/org/springframework/expression/spel/support/StandardEvaluationContext.java)
关于如何进行spring-messaging远程代码执行漏洞分析就分享到这里了,希望
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/153821.html