龙空技术网

深度解析丨Spring框架远程命令执行漏洞复现及流量特征分析

数智大号 11455

前言:

而今大家对“snort下载ubuntu”大约比较珍视,我们都需要剖析一些“snort下载ubuntu”的相关资讯。那么小编同时在网上搜集了一些有关“snort下载ubuntu””的相关文章,希望我们能喜欢,兄弟们快快来了解一下吧!

01.

漏洞详情

1、漏洞简介

2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。

通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,从而触发pipeline机制并写入任意路径下的文件。

2、漏洞利用条件

Apache Tomcat作为Servlet容器;使用JDK9及以上版本的Spring MVC框架;Spring框架以及衍生的框架spring-beans-*.jar文件或者存在

3、漏洞影响范围

JDK JDK 9+Spring Framework 5.3.18+ 5.2.20+

docker已经配置好jdk环境。docker中的环境与宿主机jdk环境无关,只是当时做实验的时候,刚好也装了jdk9,记录了一下安装过程。

ubuntu下jdk9安装:

官网下载jdk,放入解压到路径/usr/lib/jvm

利用update-alternatives 进行jdk版本切换

数字越大,优先级越高

执行命令:

修改配置:

检查一下:

每一个命令都是auto 模式,这样才会自动选择优先级高的。为了确保,可以不用管现在的状态,直接设置一遍这些命令为auto模式。

版本检查:

02.

环境配置

主机系统:Apple M1,macOS Ventura version13.0

虚拟机系统(docker靶场系统):ubuntu 20.04.2 x86 (腾讯云服务器)

03.

漏洞复现

靶场项目:

1、ubuntu安装docker

源:

2、安装pip

3、安装docker-compose

4、启动靶场环境

可能遇到的问题:卡在了pulling阶段

因为docker加速器超时导致pull不下来,改成国内镜像

添加以下内容:

重启

5、漏洞版本验证

进入docker控制台

JDK

04.

利用链

利⽤class对象构造利⽤链,对Tomcat的日志配置进行修改

然后,向⽇志中写⼊shell

1、构造payload

2、GET发送

服务器上验证,确实已经生成了jsp

3、访问写入的webshell文件

4、清空

总体来说,这个漏洞的利用方法会修改目标服务器配置,导致目标需要重启服务器才能恢复,实际测试中需要格外注意。

05.

反弹shell

1、用msf生成木马

Lhost是监听机器的ip。因为目标机也是公网中的,所以监听机器也需要是公网IP,这样才能访问到。

msf生成的shell.elf是在本地的,需要自己想办法传到服务器上。

2、木马上传

正常情况下,应该是在公网的vps下面生成elf,然后wget下载。但我这次在本地生成的,所以直接scp拷到服务器上去。

宿主机向docker传输文件

3、赋予木马权限

4、msf开启监听

在公网服务器上

ubuntu快速安装msf:Ubuntu快速安装MSF - tomyyyyy - 博客园

5、执行木马

06.

抓包

过滤语句:ip终点选靶机的IP,起点选择攻击机的IP。

因为靶场走的8080端口,http协议,所以筛选条件加上http协议。

追随No.1277和1566的http流

07.

特征流量分析

1、pipeline.first.pattern

对get头进行解码:

2、pipeline.first.suffix

3、parent.pipeline.first.directory

4、pipeline.first.prefix

5、pipeline.first.fileDateFormat

08.

漏洞规则

规则思路如下:

09.

snort规则验证

snort的各种配置以及环境,见以前的blog:

把刚刚抓到的数据包放进snort环境中,把写好的规则文件也放进环境中。

1、规则配置

把规则文件放进规则路径,并修改snort.conf配置

2、修改snort.conf的内容

设置需要保护的ip地址

在setp6里,设置输出

翻到最下面,找到规则集列表。

打开local.rules的注释,以允许snort装载个性化规则集。

保存编辑:wq

3、测试是否能正常工作

4、运行成功

5、规则验证

10.

修复及防范措施

1、漏洞排查

JDK版本号排查

在业务系统的运行服务器上,执行java -version命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响

Spring框架使用情况排查

如果业务系统项目以war包形式部署,按照如下步骤进行判断:

如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断:

2、漏洞影响

JDK版本号在9及以上的使用了spring框架或衍生框架

3、漏洞修复建议

4、安全产品部署

该漏洞的防范规则,现已加入六方云工业互联网安全产品体系。

在网络出口位置部署六方云防火墙,并及时更新特征库;部署六方云网络威胁检测与回溯系统,及时发现未知威胁。

11.

附录:snort 文件部署路径

1、snort安装包所在路径、相关文档

doc:snort的一些说明文档所在文件夹

2、snort规则文件、配置文件

3、snort日志文件

4、snort运行

5、规则路径

6、配置路径

标签: #snort下载ubuntu