黑客
登录
客服
网络安全,渗透测试

Spring反射性文件下载漏洞(CVE-2020-5421)分析

日期:2020/10/21 11:16:02

漏洞描述:
In Spring Framework versions 5.2.0 - 5.2.8, 5.1.0 - 5.1.17, 5.0.0 - 5.0.18, 4.3.0 - 4.3.28, and older unsupported versions, the protections against RFD attacks from CVE-2015-5211 may be bypassed depending on the browser used through the use of a jsessionid path parameter.
初步分析:
RFD漏洞原理略过,从漏洞描述可知CVE-2020-5421是针对CVE-2015-5211修复方式的一个绕过,绕过方式是通过一个jsessionid路径参数
CVE-2015-5211:
CVE-2015-5211是针对Spring内容协商机制(content-negotiation)的滥用导致的RFD漏洞。
写一个简单的demo:

@Controller
@RequestMapping(value = "/spring")
public class springRFD {

    @RequestMapping("rfd")
    @ResponseBody
    public String Index(String content, HttpServletResponse response){
        return content;
    }
}

正常访问此请求:
http://x.x.x.x/spring/rfd?content=calc

响应中Content-Type为text/html
URL结尾加.json
http://x.x.x.x/spring/rfd.json?content=calc

响应中Content-Type为application/json
URL结尾改为.bat
http://x.x.x.x/spring/rfd.bat?content=111

此时通过浏览器访问,浏览器会将响应内容保存为文件,在响应头未指定Content-Disposition的情况下,根据URL保存文件名为rfd.bat,此时若用户点击下载的文件,将执行rfd.bat中的命令。RFD漏洞即通过钓鱼诱骗的方式,以可信的网站地址欺骗用户下载执行恶意脚本。
Spring针对CVE-2015-5211的修复方式是指定一个后缀的白名单,白名单外的后缀文件类型将统一添加一个响应头Content-Disposition: inline;filename=f.txt,此时下载文件后将保存为文件名f.txt,即使用户点击该文件也不会执行恶意脚本

CVE-2020-5421:
CVE-2020-5421是针对CVE-2015-5211修复方式的绕过,定位到CVE-2015-5211的修复代码
org.springframework.web.servlet.mvc.method.annotation.AbstractMessageConverterMethodProcessor. addContentDispositionHeader

跟进rawUrlPathHelper.getOriginatingRequestUri方法,一路跟进定位到org.springframework.web.util.removeJsessionid方法中会将请求url中;jsessionid=字符串开始进行截断(或者下一个;前)

此时关注spring另一个特性,URL路径中添加;开头字符串的path仍可正常访问请求,如
http://x.x.x.x/spring/rfd?content=111
http://x.x.x.x/spring/;xxx/rfd?content=111
是可以得到同样响应的

结合上述删除;jsessionid=的代码片段,删除;jsessionid=之后CVE-2015-5211的后续防御代码即将获取不到请求的真实后缀文件名,得到CVE-2020-5421的绕过payload
http://x.x.x.x/spring/;jsessionid=/rfd.bat?content=calc

修复后版本spring5.2.9测试,cve-2020-5421的payload情况下仍将添加Content-Disposition: inline;filename=f.txt头

参考资料:
https://tanzu.vmware.com/security/cve-2020-5421

最新教程

最新文章

推荐文章

热门文章

黑客技术 黑客软件 黑客教程 黑客书籍

关于我们 | 免责声明 | 学员守则 | 广告服务 | 联系我们

©2013-2021 xf1433.com 版权所有

本站资源仅供用于学习和交流,请遵循相关法律法规