如何进行Spring Data Commons RCE分析

发布时间：2021-12-28 17:06:34 作者：柒染
来源：亿速云阅读：115

如何进行Spring Data Commons RCE分析，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，其主要目标是使数据库的访问变得方便快捷。Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring的核心是控制反转（IoC）和面向切面（AOP），相比Struts 2框架绝大部分的安全漏洞都都是由于OGNL产生，而自从Spring引入SpEL，也引起很多安全漏洞，今天利用Spring Data Commons （CVE-2018-1273）作为案例和大家聊一聊。

01 漏洞描述

Spring Data Commons（1.13至1.13.10之前的版本，2.0至2.0.5的版本以及较旧的不受支持的版本）包含由于特殊元素的不正确中和而导致的属性绑定器漏洞。未经身份验证的远程恶意用户（或攻击者）可以针对Spring Data REST支持的HTTP资源提供特制的请求参数，或者使用Spring Data的基于投影的请求有效负载绑定帽可能导致远程执行代码攻击。

02 源码分析

Spring MVC框架会处理来自前端的页面的请求，并根据请求进行数据的封装，处理前端页面的请求暂不赘述，我们现在主要探讨对数据的封装处理，因为Spring Data Commons框架在做数据封装处理的时候产生了漏洞，进入org.springframework.web.method.support.InvocableHandlerMethod类，进入getMethodArgumentValues方法，如下图所示：

如何进行Spring Data Commons RCE分析

如上图所示红框所示位置，resolveArgument对请求参数进行了进一步处理，进入org.springframework.web.method.support.HandlerMethodArgumentResolverComposite类的resolveArgument方法，如下图所示：

如何进行Spring Data Commons RCE分析

由于resolveArgument方法，并没有明显的逻辑，定位到resolve.resolveArgument行进入到org.springframework.web.method.annotation.ModelAttributeMethodProcessor类的resolveArgument方法，如下图所示：

如何进行Spring Data Commons RCE分析

进入到resolveArgument方法的第132行代码，如下图所示，该行代码创建attribute的实例对象，并实现具体的数据绑定功能。

如何进行Spring Data Commons RCE分析

进入org.springframework.data.web.ProxyingHandlerMethodArgumentResolver类的createAttribute方法，createAttribute方法中调用MapDataBinder类进行传入数据的数据绑定。

如何进行Spring Data Commons RCE分析

定位到binder.bind语句进入bind方法，看实现的具体逻辑，进入到org.springframework.web.bind.WebDataBinder类的bind方法，如下图所示：

如何进行Spring Data Commons RCE分析

因为WebDataBinder类继承了DataBinder类，所以super.doBind语句是将参数传递给WebDataBinder类的doBinder方法，进入DataBinder类的doBinder方法，如下图所示，在该方法中前两句是校验语句，applyPropertyValues方法是具体的处理逻辑。

如何进行Spring Data Commons RCE分析