Spring been CVE-2022-22965

已于 2023-02-05 23:16:42 修改
阅读量3.9k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Java代码审计 文章标签: Java代码审计 java代码审计
于 2022-04-02 17:03:07 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/123905107

0x00 前言

Spring bean的漏洞被吹的很火,比如放个打码的图片,然后弹个计算器。自己又比较拖拉,所以一直没有写完分析文章。而且Spring相关的内容一直没有整理,可能要到之后慢慢来进行整理。首先来说CVE-2022-22965,实际上这个漏洞的主要成因和cve-2010-1622一样,所以这两个漏洞写在一起。

JDK 9的发布时间为:2017-09-21,也就是说这个漏洞实际上是在野漏洞,距今也有5年了,如果是了解cve-2010-1622漏洞原因以及修复方式的同时了解JDK9的特性,那么这个利用周期就不好说了。

0x01 cve-2010-1622

先来说cve-2010-1622,网上基本的poc都是class.classLoader.URLs[0]=,而官方的修复方式也是通过这个来做了一个黑名单操作。而黑名单具有极强的不可控因素。

1、环境

public class User {
    private String name;
    private String[] age= new String[]{"1"};;

    public String getName() {
        return name;
    }

    public String[] getAge() {
        return age;
    }
}

这个demo中可以看到并没有set方法,而只是存在getAge方法。

2、调试过程

首先断点直接下在 org\springframework\beans\AbstractPropertyAccessor.class setPropertyValues这里,如下图所示: 这个方法实际上就是通过属性访问器直接set属性值
在这里插入图片描述
setPropertyValue 其中关键的还是nestedPa.setPropertyValue(tokens, pv);通过属性访问器设置值
在这里插入图片描述
接着在setPropertyValue中进行判断,如果是string等基础类型走processLocalProperty,如果是Array等类型走processKeyedProperty

在这里插入图片描述

在processKeyedProperty中通过getPropertyHoldingValue获取getter的值
在这里插入图片描述
通过getPropertyHoldingValue中getPropertyValue获取数据
在这里插入图片描述

在获取数据中,会先去调用getLocalPropertyHandler,然后调用getPropertyDescriptor
在这里插入图片描述
最终调用的就是CachedIntrospectionResults的forClass方法进行内省并缓存,底层调用的就是java的内省机制,Java的内省机制就是针对JavaBean的,可以获取到类的属性名称,以及属性的Getter和Setter方法。
在这里插入图片描述
这里的CachedIntrospectionResults主要是专门提供了用于缓存JavaBean的PropertyDescriptor描述信息的类,在工厂类中,可以通过forClass找到对应的CachedIntrospectionResults实例,如果没有的话会通过new CachedIntrospectionResults(beanClass);进行创建
在这里插入图片描述
在CachedIntrospectionResults中会通过Introspector.getBeanInfo会获取到beanClass以及其父类的属性
在这里插入图片描述
在获取到bean属性之后,会进行一个put操作,同时进行了一个黑名单处理classLoader以及protectionDomain
在这里插入图片描述

接着回到processKeyedProperty来看cve-2010-1622漏洞原因

在这里插入图片描述
在处理Array的时候会对Array进行set操作,也就是说会自动调用set操作进行覆盖。
在这里插入图片描述

利用方式:class.module.classLoader.URLs[0]=

0x02 CVE-2022-22965

接着来看CVE-2022-22965,实际上CVE-2022-22965的出现仅仅是因为JDK9中出现了module,可以通过module来获取到ClassLoader。

在JDK9引入了模块系统

为什么引入module?可以参考:https://zhuanlan.zhihu.com/p/167729732

0x03 官方修复

https://github.com/spring-projects/spring-framework/commit/afbff391d8299034cd98af968981504b6ca7b38c

在这里插入图片描述

修复的第一个点 检测方法名是否包含name,并且结尾不是Name,则退出

if (Class.class == beanClass && (!"name".equals(pd.getName()) && !pd.getName().endsWith("Name"))) {
					// Only allow all name variants of Class properties
					continue;
				}

第二个修复点就是:对PropertyType值进行判断不能是ClassLoader以及ProtectionDomain

if (pd.getPropertyType() != null && (ClassLoader.class.isAssignableFrom(pd.getPropertyType())
								|| ProtectionDomain.class.isAssignableFrom(pd.getPropertyType()))) {
							// Ignore ClassLoader and ProtectionDomain types - nobody needs to bind to those
							continue;
						}

参考

  • 【Java版本】https://blog.csdn.net/qq_26264237/article/details/90576007
  • 【参数绑定】https://blog.51cto.com/u_14890701/2519693
  • 【JDK9】https://zhuanlan.zhihu.com/p/167729732

有空可以关注一下公众号鸭

在这里插入图片描述

Spring Framework CVE-2022-22965漏洞详细分析
HBohan的博客
04-18 2189
. 漏洞利用条件 jdk9+ Spring 及其衍生框架 使用tomcat部署spring项目 使用了POJO参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本 二. 漏洞分析 一开始复现这个漏洞的时候,听其他师傅说是一个老漏洞CVE-2010-1266的绕过,之前也没调试过这个漏洞,看了些分析文章后,大概明白是对Spring中的bean的漏洞利用,通过API Introspector. getBeanInfo 可以获取到PO
Spring Rce 漏洞分析CVE-2022-22965
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞(CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
CVE-2022-22965Spring远程代码执行漏洞
热门推荐
一只爱吃橙子的羊
04-09 4万+
CVE-2022-22965Spring Framework远程代码执行漏洞
CVE-2022-22965源码分析与漏洞复现
最新发布
spinage的博客
05-24 1575
漏洞分析:CVE-2022-22965Spring4Shell) 漏洞概述 CVE-2022-22965Spring4Shell)是Spring Framework中的一个高危远程代码执行漏洞(CVSS 9.8),影响Spring 5.3.x <5.3.18和5.2.x <5.2.20版本。攻击者可利用Spring MVC的数据绑定机制,通过恶意HTTP请求修改Tomcat日志配置,注入JSP WebShell,最终在服务器上执行任意命令。 漏洞成因 数据绑定缺陷:Spring MVC在处理请求参数时
CVE-2022-22965Spring core RCE漏洞
冬的博客
04-11 4606
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
Spring官宣重大RCE漏洞CVE-2022-22965
码农小胖哥
04-01 2190
沉寂了两天后,Spring官方终于对坊间存在的漏洞进行了公开回应,确实存在RCE漏洞。该漏洞编号为CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+,漏洞级别:Critical。详细描述为:在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能容易通过数据绑定进行远程...
CVE-2016-4977 RCE in Spring Security OAuth漏洞分析
c0c0cf的专栏
09-21 2114
新浪微博: http://weibo.com/u/2275304001/home?wvr=5 微信公众号 DebugPwn 漏洞描述: When processing authorization requests using the whitelabel views, the response_type parameter value was executed
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
qq_38527427的博客
10-22 1336
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。/*** @Description: 用户登录控制器*/@Autowired/*** 定义登录页面* @return*//*** 跳转主页main。
LangChain Arbitrary Command Execution - CVE-2023-34541
m0_65876116的博客
07-21 201
【代码】LangChain Arbitrary Command Execution - CVE-2023-34541。
Spring Boot 2.1.13 是 2.1.x 系列的重要维护版本,**Netty 相关的安全修复和性能优化** 是最大亮点
BLOG域名:programb.blog.csdn.net
05-14 241
Spring Boot 2.1.13 是 2.1.x 系列的重要维护版本,Spring Boot 2.1.13 是 2.1.x 系列的重要维护版本,**Netty 相关的安全修复和性能优化** 是最大亮点。对于仍在使用该版本的项目,尤其是涉及 WebFlux 或响应式编程的应用,建议尽快升级以规避漏洞风险。若计划长期维护,可考虑进一步迁移至 Spring Boot 2.3.x 或更高版本,以获取更完善的云原生支持和新特性。
Hibernate Validator 6.1.0.Final 和 6.0.18.Final 已经发布了
BLOG域名:programb.blog.csdn.net
04-28 1576
6.0.18.Final 版本主要包含了修复bug的内容,对于正在使用 Hibernate Validator 的用户来说,这是一个推荐的升级选项,它可以直接替换掉之前的 6.0.17.Final 版本。抱歉,由于提供的引用内容主要讨论的是Java的String、StringBuffer、StringBuilder的区别,以及类加载机制和自定义类加载器的相关概念,而并未涉及Java版本(如6.1.0.Final)的具体新特性。检查更新时间:查看每个版本的发布日期,以了解最新的更新内容。
CVE-2022-22965 GUItools单个图形化利用工具
04-06
3月31日,spring 官方通报了 Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。 漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞,建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。
学习CVE-2022-22965
2302_78853575的博客
09-17 1086
漏洞复盘CVE-2022-22965
CVE-2022-22965——Spring Framework远程代码执行漏洞
c0rdXy的博客
09-25 280
Spring Framework远程代码执行漏洞
CVE-2022-22965spring参数绑定漏洞
TengChuanB的博客
12-16 2412
cve-2022-22965
春秋云镜 :CVE-2022-22965Spring Framework JDK >= 9 远程代码执行漏洞)
m0_65712192的博客
07-27 1306
靶标介绍:Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。
cve-2022-22965 idea
03-27
CVE-2022-22965 是一种影响 Spring Framework 的远程代码执行 (RCE) 漏洞。此漏洞的根本原因是 JDK 9 及更高版本中的 Spring MVC 数据绑定机制存在缺陷,攻击者可以通过精心构造的数据触发该漏洞,在受影响的应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值