我滴个乖乖,我复现了Spring的漏洞,害怕!

你好呀，我是歪歪。

前天发布了《我想问问：你昨晚吃到 Spring 的惊天大瓜了吗？》这篇文章，没想到阅读量居然这么高。

这篇文章其实是我那天晚上知道这个“瓜”之后，看到很多技术群都在讨论，大概在  23 点 30 分的时候开始想写一篇，然后卡着零点发。

因为我想着本来着凭借我的手速，写这篇文章 30 分钟够够的吧。

于是我边写边吃瓜，吃着吃着，时间就来到了第二天零点。

看着时间，又看着没写几个字的文章，当时我就想：哎，这特么的拖延症也来越严重了.......反正都已经到凌晨了，要不打几把欢乐斗地主，欢乐欢乐？昨天把豆子输光了，今天又可以免费领豆子了。

所以....

我又打了几把斗地主。很快啊，又没有豆子了。

接着开始苦哈哈的写文章，一不留神就写到第二天凌晨 1 点 25 分。

为什么我记得这么清楚呢？

因为我写这篇文章的时候还是很兴奋的，毕竟吃 Spring 的大瓜，一辈子也吃不了几次。

我看了一下我的手表记录，在 1 点 25 分之后，我的心率开始下降，所以应该是这个时候写完文章的：

哎，这件事情再次印证了写公众号的，或者说做自媒体的人的一个“黄金定律”：

一些文章写的时候觉得这文章真牛逼，我花了这么多时间写出来，这玩意一发出去肯定是爆款啊，这都不火，天理难容啊！

结果，真的发出去之后，石沉大海，无人问津。

往往是不经意间写的东西，突然就火了。

这东西，你找谁说理去？

言归正传

好了，言归正传。

我真的复现了这次 Spring 的漏洞。

昨天晚上我正在家里悄悄卷你们的时候，突然有人给我发来这样的一个链接：

https://sizeof.cat/post/springcore-rce/

然后只配上了四个字：

于是我赶紧点进去看了一下。

很明显这个文章最开始的时候应该也是和我一样一起吃瓜的。

因为他最开始的描述是用的这样的词汇：

可能、据说、大概...

然后在某个时间点变成了这样：

简单来说就是：实锤了！

而文章中提到的这个地方是一个 PDF 文件：

这个 PDF 文件就是本文的核心了。

但是，我想先拐个弯让你看看这个地方：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

这里才是 Spring 关于这个漏洞的官宣。我强烈建议你自己去读一读这个官宣，里面内容比较多，我就不给大家一一翻译了。

只是给大家看看这个地方：

这里说了两件事，相当于“辟谣”。

第一个是关于我之前文章中提到的废弃 SerializationUtils 方法。

你看我之前的文章说的还是“疑似瓜”，说明我还是比较严谨的。

官方的博客说：

The deprecation is unrelated to this vulnerability.

弃用与此漏洞无关。

幸好我在之前的文章里面说了：

这不，打脸来的那么快。但是没关系，吃瓜嘛，开心最重要，挨几巴掌，不寒碜。

第二个事情是说这段时间 Spring Cloud Function 也爆出了一个高危漏洞，但是这个漏洞是在 Spring 漏洞之前爆出来的。

官方的说法是：

It is also unrelated.

这两者之间这也是不相关的。

所以，大家在吃瓜的时候要看准方向，被别一些司机带错路了，假瓜吃的津津有味，自己还不知道。

然后，在我写文章的时候，这个官方博客也在不断的更新：

可以看到在 14:00 更新了这个漏洞报告：

https://tanzu.vmware.com/security/cve-2022-22965

在这个报告里面，再次明确了这个漏洞的先决条件：

• 必须是 JDK 9+ 的版本。
• 必须是 Apache Tomcat 作为 Servlet 容器。
• 必须是以 war 的形式打包。
• 必须是依赖了 spring-webmvc 或 spring-webflux。

我想第一个条件，就让一大批人放心了。

至少这波，不用加班加点的升级修复了。

可以安心吃瓜。

开始复现

额，这么写到这里了都还没有进入正题呢。

好吧，我想闲扯的基本上也就扯完了，下面开始搞事情。

让我们回到这个地方：

你访问下面这个链接，可以直接拿到这个 pdf：

https://sizeof.cat/post/springcore-rce/files/readme.pdf

打开这个 PDF 之后，你可以看到如果要复现漏洞，要求条件是这样的：

你仔细思考，其实这些条件都在 Spring 官宣的先决条件内。

先不必纠结于此，主要记住我框起来的这两个点，然后直接看下面的重点。

在漏洞分析里面，他提到了一句话，是重中之重：

因为我觉得需要使⽤的参数内，存在⼀个 Class 类型的属性。

什么意思呢？

就是假设我们定义一个请求对象，叫做 UserReqDto，是这样定义的：

里面有一个 Class 类型的属性，就是这个意思。

确实，我纵横开发界这么久，就没有见过请求对象里面要求传 Class 的。

但是他给出了这样的一个示例：

分别有两个对象，EvalBean 和 CommonBean。

其中 CommonBean 是 EvalBean 的一个属性。

这样的定义就非常的常见了吧，项目里面一抓一大把。

然后还记得我前面框起来的两个点吗？

这啥意思？

上个代码你就看的明明白白的：

这写法就是“Spring 的参数绑定”，这不就是我们常规的写法吗？没有看到任何不妥的地方呀？

是的，没有看到任何不妥的地方。

但是，如果你这样的代码对应的运行环境和方式，满足了前面官方提到的先决条件。

那么恭喜你，就是有漏洞的。

你就仔细想想，是不是细思极恐？

那么对应的原理是啥呢？

大佬在 PDF 里面指了个路：

意思就是在前面的示例代码中，请求对象中虽然没有 class 熟悉，但是在 Spring 进行参数绑定的时候会凭空多出一个 “class” 属性。

那么为什么会多出来呢？

我不知道，我也没去深入研究。大概是因为反射的时候获取 bean 信息会处理所有以 get 开头的方法，所以 getClass 方法被映射成了 class 属性。

然后再想一想为什么是 JDK 9+ 以后才有这个问题呢？

我也不知道，但我盲猜一波是因为这个东西，模块化：

但是我也没有具体的依据，都说了是盲猜了。

反正路指给你了，你想深入的话，可以从这条路走。

那么到底怎么发起攻击呢？

PDF 里面也写了。

你只要把代码打个 war 包，然后运行在对应的环境中，并执行下面这五个请求：

就能在项目的 out 文件夹中写入一个 jsp：

写入 jsp 文件啊！

老铁，这可是写入了一个 jsp 文件啊！

我不知道你有没有经历过 jsp 文件写页面的那个时代，我以前写过。

我当年特别喜欢这个东西，因为它支持热部署，修改了 jsp 页面的内容，都不用重启的。

所以，我喜欢通过 jsp 页面留下一点方便我对项目进行运维的后门操作。

后门是啥，具体就不详说了。

如果你知道 jsp 的威力，你就能明白这句话的分量是多大：

这可是由别人通过构造特定的请求写入了一个 jsp 文件在你的项目里面啊！

而且，我能写 jsp 了，难道我就不能多写点其他的什么东西....

但是我必须要补充一句，如果你也想复现这个漏洞，最关键的是前面提到的“五个请求”。

然而在 pdf 里面，这五个请求的内容其实是不全的，大概缺失了 30% 的内容。

我不知道为什么，但是我猜测是作者故意的。

但是，凭借我超强的悟（瞎）性（猜），我花了一点时间，补全了这部分的请求。

所以，经过一番折腾，我本地也成功写入了这个 jsp 文件：

万事俱备，只需要触发一下了。

怎么触发呢？

jsp 页面还能怎么触发，简单的很嘛。

直接访问对应链接就可以了：

我能调起计算器，我就能接管你的机器。

而在这个过程中，控制台不会有任何输出：

但是还是能处理正常的请求，且打印日志：

潜入细无声，我就问你，怕不怕！

p1n93r

从 PDF 上看，是一个叫做 p1n93r 写的这个 PDF，并且把相关测试代码开源了：

但是在我看到这篇文章并点击这个开源项目的时候，发现已经 404 了：

甚至，p1n93r 也已经 404 了：

然后我搜索了一下这个关键词：

确认这是一个安全大佬，但是不知道是红是黑。

我的搜索也就止步于此了，很明显，他主动删除了相关的项目，甚至主动让自己在 github 上消失，就是不想引起关注。

对于一个安全大佬来说，静默，就是最好的生存之道。

这让我想起了和另外一个安全大佬的对话：

幸好，我这里还有另外一份源码。

好了，如果你也想要对应的源码的话。可以在公众号后台回复关键字【漏洞】就可以了。

拿着源码，配合着 PDF 看，自己去玩吧。但是可能手速得快，我怕这一份源码也被删了。

就到这。

荒腔走板

我就是我 是颜色不一样的烟火

天空海阔 要做最坚强的泡沫

我喜欢我 让蔷薇开出一种结果

孤独的沙漠里 一样盛放的赤裸裸

——《我》

冥冥中都早注定你富或贫

是错永不对真永是真

任你怎说安守我本分

始终相信沉默是金

——《沉默是金》

风继续吹不忍远离

心里极渴望希望留下伴着你

风继续吹不忍远离

心里亦有泪不愿流泪望着你

——《风继续吹》

最后说一句

好了，看到了这里了， 转发、在看、点赞 随便安排一个吧，要是你都安排上我也不介意。写文章很累的，需要一点正反馈。

给各位读者朋友们磕一个了：

推荐👍 ：一不小心节约了 591 台机器！

推荐👍 ：给Spring贡献一波源码。

推荐👍 ：发现Spring事务的一个bug,官方表示6.0版本修复。

推荐👍 ：当Synchronized遇到这玩意儿，有个大坑，要注意！

推荐👍 ：2021，我这一年。

··································

你好呀，我是歪歪。一个主要敲代码，经常怼文章，偶尔拍视频的成都人。

我没进过一线大厂，没创过业，也没写过书，更不是技术专家，所以也没有什么亮眼的title。

当年以超过二本线 13 分的“优异”成绩顺利进入某二本院校计算机专业，误打误撞，进入了程序员的行列，开始了运气爆棚的程序员之路。

说起程序员之路还是有点意思，可以看看。点击蓝字，查看我的程序员之路