云攻防系列】漏洞考古归因之Spring与Struts2

前言

今年三月底，Spring core 爆出了一个 RCE 漏洞(CVE-2022-22965)，受到了广大安全、开发、运维人员的关注。随着POC 与 EXP 的披露，我们对其 Payload 的部分观察，不难发现其实该漏洞与早期 Struts2 曾经爆出的 RCE 漏洞(S2-020)有着很相似的部分。

在进行分析过后，发现两者(CVE-2022-22965和S2-020)的漏洞成因可以称得上的是“殊途同归”。我们对于未知的漏洞，其实很大程度上可以依据漏洞的相似性进行防御。而这些相似性，也可以给我们白帽子在漏洞挖掘方面带来启发。

本文将对两个漏洞进行对比分析， 最终找到两个漏洞的相似之处。

CVE-2022-22965 和 S2-020 漏洞简介及影响

CVE-2022-22965 漏洞概述及影响

一直以来，Spring 是编程开发的必选技术之一，该框架是一个轻量级的应用框架，具有很高的凝聚力和吸引力。Spring 框架因为其强大的功能和超强的性能越来越受开发人员的喜欢。

在3月29日晚间，不少国内外网友陆续爆料 Spring 框架协议出现 “史诗级” RCE 漏洞，Spring 官方在接到此消息后马上开展了分析修复工作，并计划于 3 月 31 日发布修复后的版本。但与此同时，漏洞的详细信息于 3 月 30 日已在网络上泄露，引发了大家对此漏洞的高度重视。

这个漏洞影响的是在 JDK9+ 上运行的 Spring MVC 和Spring WebFlux 应用程序，需要应用程序作为WAR部署在 Tomcat 上运行。而使用 Spring Boo