【漏洞分析】jdk9+Spring 及其衍生框架

最新推荐文章于 2024-06-05 10:36:57 发布
原创 最新推荐文章于 2024-06-05 10:36:57 发布 · 379 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

本文详细分析了一个影响 JDK9+ 和 Spring 及其衍生框架的安全漏洞,涉及利用条件、漏洞原理及修复方法。利用条件包括特定版本的 Spring Framework,通过 API Introspector 获取 POJO 的敏感属性。漏洞分析揭示了如何通过模块化系统绕过黑名单,操纵 classloader。修复方式是更新至 Spring 的最新补丁版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. 漏洞利用条件

jdk9+

Spring 及其衍生框架

使用 tomcat 部署 spring 项目

使用了 POJO 参数绑定

Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本

二. 漏洞分析

通过 API Introspector. getBeanInfo 可以获取到 POJO 的基类 Object.class 的属性 class,进一步可以获取到 Class.class 的其他属性,其中就包括了 classloader,再利用获取到的属性构造利用链,这次爆出来的漏洞既然是绕过,那么原理应该也差不多,首先先搭建环境,构造一个简单的 POJO:

public class User {

private String name;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

}

复制代码

再写个简单的 controller:

 

@RequestMapping("/test")

public String test(User user){

System.out.println(user.getName());

return "hello spring-mvc";

}

复制代码
 

 

 

发送 get 请求:http://localhost:8080/test?name=test 即可完成一次简单的数据绑定。
 

 

在开始调试分析之前,首先需要对 spring 的数据绑定体系机构有个简单的了解,其中涉及到一个关键类 org.springframework.validation.DataBinder 类,DataBinder 类实现了 TypeConverter 和 PropertyEditorRegistry 接口,作用主要是把字符串形式的参数转换成服务端真正需要的类型的转换,同时还有校验功能,其中有如下这些属性:
 


@Nullable

private final Object target;//需要数据绑定的对象

private final String objectName;//给对象起得名字默认target

@Nullable

private AbstractPropertyBindingResult bindingResult;//数据绑定后的结果

@Nullable

private SimpleTypeConverter typeConverter;//当target!=null时不会用到

private boolean ignoreUnknownFields = true;//忽略target不存在的属性,作用于PropertyAccessor的setPropertyValues()方法

private boolean ignoreInvalidFields = false;//忽略target不能访问的属性

private boolean autoGrowNestedPaths = true;//当嵌套属性为空时,是否可以实例化该属性

private int autoGrowCollectionLimit = DEFAULT_AUTO_GROW_COLLECTION_LIMIT;//对于集合类型容量的最大值

@Nullable

private String[] allowedFields;//允许数据绑定的资源

@Nullable

private String[] disallowedFields;//不允许的

@Nullable

private String[] requiredFields;//数据绑定必须存在的字段

@Nullable

private ConversionService conversionService;//为getPropertyAccessor().setConversionService(conversionService);

@Nullable

private MessageCodesResolver messageCodesResolver;//同bindingResult的

private BindingErrorProcessor bindingErrorProcessor = new DefaultBindingErrorProcessor();

private final List<Validator> validators = new ArrayList<>();//自定义数据校验器

复制代码
 

 

其中 bindingResult 是 BeanPropertyBindingResult 的实例,内部会持有一个 BeanWrapperImpl。
 

 

bind()是数据绑定对象的核心方法:将给定的属性值绑定到此绑定程序的目标,源码如下:
 

 

 


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞复现

				
			

			

				

					Tauil的博客
				

				

					07-24
					
					877
					
				

			

		

		

			
				
该远程代码执行漏洞起因有可能与对SpringCore所做的更改有关,该更改弃用了使用Java序列化和反序列化的旧“异常克隆”函数。该操作导致Java中使用不受信任的字符串值的反序列化运行远程代码。因为需要设置c1、c2、suffix值,所以攻击机中打开burpsiute进行抓包,修改数据包为。,那么我们可以尝试构造特定的类,从而在目标web目录下创建特定文件。sudodockerps//记住你使用8983端口容器ID,记前两位就行。就可以看到我们输入的命令执行成功了。,该页面的页源代码是。......

			
		

	



                

            
              



	

		

			

				
					
漏洞分析jdk9+Spring及其衍生框架

				
			

			

				

					2201_75857869的博客
				

				

					02-10
					
					251
					
				

			

		

		

			
				
jdk9+Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本。

			
		

	



              


  
              

                


	

		

			

				
					
Spring 官方证实!框架漏洞JDK 9 及以上版本均受影响

				
			

			

				

					weixin_45727359的博客
				

				

					04-03
					
					376
					
				

			

		

		

			
				
继 Log4j 2 之后,听闻 Java 再次遭到漏洞攻击,这一次,似乎情况也更为严重,因为受到影响的是 Java 平台的开源全栈应用程序框架和控制反转容器实现——Spring 家族,而且网传漏洞还不止一个。一直以来,Spring 是编程开发的必选技术之一,此前一位名为 Bogdan N. 的全栈开发者甚至评价道:“学习 Java、学习 Spring 框架,你永远都不会失...

			
		

	





	

		

			

				
					
spring远程命令执行漏洞JDK版本9及以上

				
			

			

				

					Object的博客
				

				

					03-30
					
					323
					
				

			

		

		

			
				
漏洞预警】Spring远程命令执行漏洞










			
		

	



		

			
		



	

		

			

				
					
JDK漏洞之6260652

				
			

			

				

					gzheclipse的博客
				

				

					05-06
					
					1040
					
				

			

		

		

			
				
看过JDK源码的童鞋可能会发现ArrayList和CopyOnWriteArrayList类中有如下源码注释:



.

这个see 6260652是个什么玩意呢?它其实是JDK的bug文档编号。

https://bugs.java.com/bugdatabase/view_bug.do?bug_id=6260652

这是个什么bug呢?

假如有一个Object[]数组,并不代表可以将Ob...

			
		

	





	

		

			

				
					
Vulfocus复现Spring框架远程命令执行漏洞(CNVD-2022-23942)

				
			

			

				

					Aquarius_ego的博客
				

				

					05-16
					
					1921
					
				

			

		

		

			
				
Vulfocus复现Spring框架远程命令执行漏洞(CNVD-2022-23942)/spring-core-rce-2022-03-29

			
		

	





	

		

			

				
					
Spring Framework CVE-2022-22965漏洞详细分析

				
			

			

				

					xy5489的博客
				

				

					12-24
					
					289
					
				

			

		

		

			
				
jdk9+Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本。

			
		

	





	

		

			

				
					
谈谈JDK 漏洞 6260652

					
最新发布

				
			

			

				

					落日的博客
				

				

					06-05
					
					1186
					
				

			

		

		

			
				
在看ArrayList源码的过程中 发现带参构造里有一个注释:于是带着下面三个问题去查资料,探究了一下这个问题。

			
		

	





	

		

			

				
					
当年偶然发现的 Java Bug(JDK 9及之前仍未修复)

				
			

			

				

					叨叨软件测试
				

				

					09-05
					
					673
					
				

			

		

		

			
				
背景
15年在中信银行做持续集成时,由于当时的项目是基于三方采购的 Java 配置开发平台做的,平台自己基于 Ant插件实现了增量和热部署。
其中有几个项目在持续集成部署时,经常发现 Linux平台部署成功后(Windows不会出现,Linux也是偶发现象),新版本代码并没有生效(反编译 class)。
起初我是在本地 windows上跟踪调试基于 Ant插件的代码,但始终重现不了(最后测试发现 Windows 无此 Bug)。
后来,通过分析代码逻辑,其中有段逻辑是通过文件的最后修改时间(File.las

			
		

	





	

		

			

				
					
Spring 官方证实:框架爆大漏洞JDK 9 及以上版本均受影响

				
			

			

				

					qq_43842093的博客
				

				

					04-02
					
					1644
					
				

			

		

		

			
				
继 Log4j 2 之后,听闻 Java 再次遭到漏洞攻击,这一次,似乎情况也更为严重,因为受到影响的是 Java 平台的开源全栈应用程序框架和控制反转容器实现——Spring 家族,而且网传漏洞还不止一个。
一直以来,Spring 是编程开发的必选技术之一,此前一位名为 Bogdan N. 的全栈开发者甚至评价道:“学习 Java、学习 Spring 框架,你永远都不会失业。”可想而知,如果 Spring 城门失火,Java 必定遭殃。
据悉,3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂

			
		

	





	

		

			

				
					
jdk1.8 handshake_failure漏洞修复jar  UnlimitedJCEPolicyJDK7.zip

				
			

			

				

					08-05
				

			

		

		

			
				
UnlimitedJCEPolicyJDK7  修复jdk1.8的漏洞

			
		

	





	

		

			

				
					
JDK9绿色压缩版64位+JRE9

				
			

			

				

					10-17
				

			

		

		

			
				
JDK9绿色压缩版64位+JRE9,本人资源里有JDK1.7以上所有版本,均是绿色版,解压即用。

			
		

	





	

		

			

				
					
jdk9-64位下载(官方版)

				
			

			

				

					10-26
				

			

		

		

			
				
jdk9-64位官方安装版,上传不了超大附件,附上百度云盘链接,欢迎大家下载

			
		

	





	

		

			

				
					
java-9-spring-maven:使用Spring MVC和Maven的Java 9模块的示例

				
			

			

				

					02-04
				

			

		

		

			
				
Java 9 Spring MVC示例
该存储库是一个示例,说明如何将SpringJava 9模块一起使用,并利用maven多模块进行每个模块的依赖性管理。
写作意图
SpringJava 9之间的互操作性仍然非常好。 该存储库用作一个功能示例,可用于帮助诊断一些常见问题。
运行这个例子
注意:目前,您不能只是深入研究并在IDE中运行该应用程序。 目前还没有支持。
 从项目的根目录: 
mvn clean install
java -jar app/target/app-1.0-SNAPSHOT-exec.jar
 这将启动一个具有两个端点/users/{id}的spring boot应用

			
		

	





	

		

			

				
					
jdk9+版本的bug

				
			

			

				

					weixin_34192732的博客
				

				

					06-06
					
					600
					
				

			

		

		

			
				
今天从jvm大神"你假笨"的公众号上,看到一个jdk 9+版本的编译bug,记录一下:

public class JavacEvalBug{

    private static String[] array = {""};

    static int test(){
        System.out.println("evaluated!");
        ret...

			
		

	





	

		

			

				
					
年度加密漏洞提前锁定:Java JDK 加密实现漏洞可用于伪造凭据

				
			

			

				

					smellycat000的专栏
				

				

					04-21
					
					381
					
				

			

		

		

			
				
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Java JDK 的某些加密操作实现中存在一个灾难性漏洞,可使攻击者轻易伪造虚假凭据。该灾难性弱点影响 Java JDK 15及后续版本,已由 Oracle 在今天的关键补丁更新发布中修复。由于这些缺陷牵涉对使用广泛的 ECDSA 签名的实现,因此 Oracle Java 和 OpenJDK 均需更新。问题源自编程错误,...

			
		

	





	

		

			

				
					
Javaweb安全——反序列化漏洞-原生利用链JDK8u20

				
			

			

				

					weixin_43610673的博客
				

				

					10-24
					
					1772
					
				

			

		

		

			
				
回顾一下JDK7u21那个链子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用链,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。

			
		

	





	

		

			

				
					
一次项目漏洞升级的过程(JDK8升级到JDK17)

				
			

			

				

					熊浪的博客
				

				

					01-19
					
					1660
					
				

			

		

		

			
				
1、spring-web需要升级到6.x,spring-boot需要升级到3.x,JDK需要升级到JDK17(Oracle JDK17三年免费授权从2024年9月,所以需要使用OpenJDK17),Java EE转Jakarta;因为使用了OpenJdk17,cglib代理在2019年8月停止更新,OpenJDK17是20199月出来的,也不支持需要修改;第二步、扫描后的漏洞存在镜像漏洞,中间件漏洞和代码jar包漏洞;第三步、区分对外和不对外的服务,先更新对外服务;第二步、更新IDEA的JDK配置。

			
		

	





	

		

			

				
					
windows安装JDK9+Tomcat9

				
			

			

				

					nieji3057的博客
				

				

					03-06
					
					942
					
				

			

		

		

			
				
1.从官网下载JDK安装包http://www.oracle.com/technetwork/java/javase/downloads/index.html2.下载后进行安装,可以选择安装路径或默认安装路径3.安装后配置路径(参考的java1.7安装,路径换成1.9的就行)安装好后便是配置JDK的环境变量,在桌面上计算机点右键选属性,或是开始菜单计算机上点右键选属性, 左边点高级系统设置,点下边...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值