一:漏洞简介
Spring Data REST是Spring Data项目的一部分,可以在Spring Data存储库之上构建超媒体驱动的REST Web服务。Spring Data REST存在远程代码执行漏洞,攻击者通过构造恶意的PATCH请求提交给spring-data-rest服务器,使用特制的JSON数据来运行任意的Java代码,从而实现远程代码执行攻击。
二:影响版本
Spring Data REST versions 2.5.12, 2.6.7, 3.0 RC3之前的版本;
Spring Boot versions 2.0.0M4 之前的版本;
Spring Data release trains Kay-RC3 之前的版本。
三:漏洞复现
使用官方demo:https://github.com/spring-guides/gs-accessing-data-rest.git
下载后如图所示:
直接idea导入complete文件夹让它自动下载依赖。
下载完成后如图所示:
接下来我们需要将pom.xml文件中的springboot的版本修改为含有漏洞的版本,springboot是一个父依赖,其中含有spring-data-rest-webmvc这个核心组件。
然后直接运行AccessingDataRestApplication类就可以启动,启动成功后访问127.0.0.1:8080返回如下代表启动成功:
接下来先简单说一下Patch方法(已有的上传数据的方法有POST和PUT,但是功能上有些不足):
Patch方法是新引入的对PUT方法的补充,用来对已知资源进行局部更新。Patch请求方法有一个标准,必须包含一个path和op字段, op表示具体操作, path用于定位准确数据字段。
Patch方法的content-type类型为: application/json-patch+json,上边说到Patch方法的主要作用是用来对已知的资源进行更新,我们来举个例子:
已知json数据:
{
"baz": "qux",
"foo": "bar"
}
发送下边的请求:
[
{ "op": "replace", "path": "/baz", "value": "boo" },
{ "op": "add", "path": "/hello", "value": ["world"] },
{ "op": "remove", "path": "/foo" }
]
最初的json数据会变成(修改baz的值,新增hello值为world,删除foo):
{
"baz": "boo",
"hello": ["world"]
}
接下来我们开始复现:
使用POST方式为系统新增一个用户:
可以看到用户新增成功,然后我们需要使用PATCH方式对该用户的信息进行修改:
可以看到用户信息修改成功。
漏洞点就在PATCH请求的path参数里,我们把path参数的值修改为恶意代码,如下:
注:
必须将Content-Type指定为application/json-patch+json。
请求数据必须是json数组。
弹计算器操作:
这里需要改变一下编码,可以使用下边这种方式:
[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{99, 97, 108, 99, 46, 101, 120, 101}))/lastName", "value": "vulhub" }]
执行完后可以看到成功弹出计算器:
四:漏洞分析
结合网上大佬们的文章,我们payload提交的是json格式,所以先从处理json的地方开始入手:
org.springframework.data.rest.webmvc.config.JsonPatchHandler:apply()。
首先,我们提交json数据后程序会先判断请求头中的content-type是否为application/json-patch+json,请求方式是否为PATCH。如果符合的话调用applyPatch方法并传入请求体,否则调用applyMergePatch方法。
其中isJsonPatchRequest方法中是这样判断请求头和请求方法:
然后判断完请求方法和请求头后进入下一步的applyPatch方法。
继续往下,会进入getPatchOperations方法,该方法首先会利用mapper初始化JsonPatchPatchConverter对象之后调用convert方法:
继续跟进convert方法,可以看到convert方法会返回Patch对象,其中ops包含了我们发送的payload:
继续往下,进入Patch。
通过上一步的返回结果我们可以看到ops是一个List<PatchOperation>对象,每一个PatchOperation对象中包含了op、path、value三个内容,我们进入PatchOperation分析下:
Path传到了pathToExpression,直接进去可以看到这是对spel表达式的解析操作,但是解析前调用了pathToSpEL,进去看下:
可以看到pathToSpEL方法中先对path进行分割操作(通过/进行分割)。
然后pathNodesToSpEL方法做了简单的字符串重组。
并没有做任何的检验,
然后继续执行,回到applyPatch方法中,然后继续执行发现PatchOperation是一个抽象类,实际上应该调用其实现类的perform()方法。通过动态调试分析,此时的operation实际是ReplaceOperation类的实例:
然后进入perform方法,继续执行,在setValueOnTarget()中会调用spelExpression对spel表示式进行解析从而触发该漏洞:
注:这篇文章分析时参考了4ra1n大佬的文章,菜鸟第一次写文,大佬们多多指教。