Spring Framework 遠端命令執行漏洞復現(CVE-2022-22965)
阿新 • • 發佈:2022-04-06
Spring Framework 遠端命令執行漏洞復現(CVE-2022-22965)
漏洞描述:
Spring core是Spring系列產品中用來負責發現、建立並處理bean之間的關係的一個工具包,是一個包含Spring框架基本的核心工具包,Spring其他元件都要使用到這個包。
未經身份驗證的攻擊者可以使用此漏洞進行遠端任意程式碼執行。 該漏洞廣泛存在於Spring 框架以及衍生的框架中,JDK 9.0及以上版本會受到影響。使用舊JDK版本的產品不受影響。
漏洞環境搭建:
1.自行搭建環境:
使用docker搭建SpringCore RCE測試環境,這裡使用vulfocus提供的,大概幾百M。
docker pull vulfocus/spring-core-rce-2022-03-29:latest
這裡已經安裝過了
-i 為指定映象id
docker run -p 8888:8080 -i82b 在8888埠上開啟spring,環境中要基於tomcat,這裡tomcat是Spring自帶的中介軟體。
開啟瀏覽器 輸入指定地址 看到ok 即環境搭建成功。
2.線上靶場環境:
http://vulfocus.io/
註冊進去好,找到對應的漏洞靶場進行啟動
漏洞環境搭建:
1.漏洞檢測:
使用github 開源exp工具檢測
可以看到漏洞存在
而且為root許可權