CVE-2019-3799 —— Spring-Cloud-Config-Server Directory Traversal

Posted by kuron3k0 on April 26, 2019

0x00 Spring Cloud Config 简介

Spring Cloud Config为分布式系统中的外部配置提供服务器和客户端支持。使用Config Server,您可以在所有环境中管理应用程序的外部属性。客户端和服务器上的概念映射与Spring Environment和PropertySource抽象相同,因此它们与Spring应用程序非常契合,但可以与任何以任何语言运行的应用程序一起使用。随着应用程序通过从开发人员到测试和生产的部署流程,您可以管理这些环境之间的配置,并确定应用程序具有迁移时需要运行的一切。服务器存储后端的默认实现使用git,因此它轻松支持标签版本的配置环境,以及可以访问用于管理内容的各种工具。可以轻松添加替代实现,并使用Spring配置将其插入。

0x01 漏洞利用

Github下载存在漏洞的版本在本地搭建,这里下了2.1.0

直接访问http://127.0.0.1:8888/test/pathtraversal/master/..%252f..%252f..%252f..%252f..%252f..%252f../etc/passwd,获得 /etc/passwd内容

0x02 漏洞分析

访问Url后首先进入了ResourceController

接着调用getFilePath函数,获取Url中../../../../../../etc/passwd这一段

然后进入了retrive函数,接着跟进findOne函数

findOne调用ResourceLoader的createRelative方法把path进行了拼接,并返回了对应的Rescource对象

最后把文件内容赋给text,返回给浏览器

0x03 参考

https://www.freebuf.com/vuls/201400.html