GeoServer WFS GetPropertyValue漏洞深度剖析:从JXPath表达式注入到RCE实战

原创 于 2026-06-17 16:11:15 发布 · 591 阅读 · 6
标签
#GeoServer漏洞 #WFS #GetPropertyValue

1. 项目概述:为什么我们要深挖GeoServer的漏洞?

如果你在搞地理信息系统(GIS)或者Web地图服务,GeoServer这个名字你一定不陌生。作为OpenGIS Web服务器规范的J2EE实现,它几乎是开源GIS服务领域的“标配”,无数政府、企业和研究机构用它来发布和管理地图数据。但正是这种广泛的应用,让它成为了安全研究者和攻击者眼中的“富矿”。一个默认安装的GeoServer,可能就藏着能让攻击者直接拿到服务器控制权的致命漏洞。今天,我们不谈空泛的理论,就从一个真实的漏洞案例——CVE-2024-36401出发,手把手带你走一遍从功能分析、漏洞定位到POC(概念验证代码)构造的全过程。这个过程,本质上就是一次针对特定软件组件的“外科手术式”安全审计。

对于安全从业者、渗透测试工程师,甚至是负责运维GeoServer的开发者来说,理解这个过程的价值远超“复现一个漏洞”本身。它能帮你建立起一套分析复杂开源系统、寻找安全弱点的通用方法论。你会发现,很多漏洞的根源并非高深莫测的0day,而是源于对功能特性的“创造性”滥用。我们这次要拆解的,就是一个由WFS(Web Feature Service)服务的 GetPropertyValue 操作中的属性名表达式( valueReference )解析缺陷所导致的远程代码执行(RCE)漏洞。通过它,你将看到如何将一个标准的OGC(开放地理空间联盟)服务请求,“扭曲”成一把打开系统大门的钥匙。

2. 漏洞环境搭建与核心功能分析

在动手之前,我们必须先理解“战场”。盲目地扔POC,就像蒙着眼睛打靶,即使打中了也不知道为什么。

2.1 靶场环境快速部署

为了不影响生产环境,也为了方便调试,我们首选在隔离的Docker环境中复现漏洞。这里以漏洞影响版本GeoServer 2.25.1为例。 

# 1. 拉取官方镜像(这里我们使用一个包含漏洞版本的定制镜像,通常来自vulhub等靶场项目)
docker pull vulhub/geoserver:2.25.1

# 2. 运行容器,将Web端口8080映射到宿主机
docker run -d -p 8080:8080 --name geoserver-cve vulhub/geoserver:2.25.1

# 3. 等待服务启动,访问 http://localhost:8080/geoserver

访问管理界面(默认账号 admin ,密码 geoserver ),你能看到GeoServer的完整功能面板。但我们的攻击入口并不在这里,而在其提供的OGC标准服务接口上。

注意 :在生产环境进行任何安全测试前,必须获得书面授权。未经授权的测试是违法行为。本文所有操作均在本地或授权靶场进行。

2.2 核心漏洞功能:WFS与GetPropertyValue操作

GeoServer的核心是提供OGC标准服务,包括WMS(地图服务)、WFS(要素服务)、WPS(处理服务)等。本次漏洞的“主角”是WFS服务。

WFS允许客户端对地理空间“要素”(可以理解为地图上的一个对象,比如一个建筑、一条道路)进行增删改查。 GetPropertyValue 是WFS 2.0标准中定义的一个操作,其目的是 从要素中获取指定属性的值 。想象一下,你有一个包含“城市名称”和“人口数量”的要素集合, GetPropertyValue 可以让你只提取出所有城市的“人口数量”列表。

它的标准请求看起来是这样的(XML格式): 

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='topp:states'/> <!-- 查询名为states的要素类型 -->
  <wfs:valueReference>人口数量</wfs:valueReference> <!-- 指定要获取的属性名 -->
</wfs:GetPropertyValue>

或者更简单的GET请求: 

GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=topp:states&valueReference=人口数量

关键点就在于这个 valueReference 参数。在GeoServer的实现中,它不仅仅支持简单的属性名,还 支持表达式 。这是因为地理信息查询有时需要计算,比如“ valueReference=面积/人口 ”来计算人口密度。为了解析这些表达式,GeoServer底层使用了Apache Commons JXPath库。

JXPath是什么? 你可以把它理解为一个用于在Java对象图中进行导航和查询的“XPath”。它功能强大,除了基本的属性访问,还允许调用对象的方法。而这,正是整个漏洞链条的起点:GeoServer在解析 valueReference 时,过于信任用户输入,直接将未经验证或过滤的字符串交给了JXPath去执行。

2.3 漏洞触发的逻辑链条分析

让我们把漏洞触发的路径理清楚:

  1. 用户输入点 :攻击者控制 valueReference 参数的内容。
  2. 传递与解析 :GeoServer接收到WFS请求后,将 valueReference 的值传递给内部的表达式解析引擎。
  3. 表达式执行 :解析引擎调用Apache Commons JXPath的 JXPathContext.getValue() 或类似方法处理该字符串。
  4. 危险函数调用 :JXPath支持一种特殊的函数语法,例如 exec(java.lang.Runtime.getRuntime(), '命令') 。这个 exec 函数是JXPath提供的一个“扩展函数”,它允许执行任意静态方法。
  5. 代码执行 :当 valueReference 被设置为 exec(java.lang.Runtime.getRuntime(), 'touch /tmp/test') 时,JXPath引擎会真的去调用 Runtime.getRuntime().exec("touch /tmp/test") ,从而在服务器上执行系统命令。

为什么这是一个漏洞? 因为GeoServer在默认配置下, 未对 valueReference 参数进行任何身份验证或授权检查 。任何能够访问WFS服务端点(通常是 /geoserver/wfs )的用户,无论是否登录,都可以调用 Get

最低0.47元/天 解锁文章
roruby
关注
java rms常用操作例子
06-07
java 手机开发数据库 rms常用操作例子
JavaRMS记录个人信息
03-16
摘要:Java源码,文件操作,RMS  Java使用RMS记录个人信息的一个小实例,本程序可运行于手机中,与手机通讯簿有关的小程序。
Record Management System从入门到精通系列之三
mingjava的专栏
06-25 3344
   前面两篇文章详细的介绍了Record Management System的基本概念以及对象序列化的问题,现在我们主要介绍关于RecordStore类的使用,在SUN的网站提供了一个RMSAnalyzer类,你可以把他用在你的项目中来调试你的程序。 Record Store Discovery       你可以通过调用RecordStore.listRecordStores()来得到MIDl
TCP/IP协议栈之LwIP-pbuf
孙兴兴的博客
01-04 5025
一、介绍 lwIP - A Lightweight TCP/IP stack The focus of the lwIP TCP/IP implementation is to reduce resource usage while still having a full scale TCP. This makes lwIP suitable for use in embedded systems with tens of kilobytes of free RAM and room for around
j2me游戏中使用记录管理系统
09-22 200
纪录管理系统(Record Management System ,简称RMS)。他能使你能够在手机设备的内存中持久地存储数据。一、    记录管理系统概览 记 录管理系统简单的说就是一个小型的数据库。具有典型的数据库的结构模型。RMS提供了RecordStore类,用于MIDlet应用程序和RMS通信。 RecordStore相当于数据库中的表。我们可以在每个表中,放置若干条记录(Record)...
java计算经纬度
weixin_47056195的博客
07-03 492
【代码】java计算经纬度。
java rms是什么意思,关于RMS的使用
weixin_32073733的博客
03-10 1655
今天来讲一讲RMS。纯粹是在做项目过程中自己的一些领悟总结,如果有不正确的地方,请高人们指点。在PC中我们可以将数据存在数据库中进行管理。那么在手机上,我们将数据存在哪里呢,又是怎样管理这些数据的呢?手机系统为每一个MIDlet都开辟了存储空间用来存储程序数据,并且有专门的管理系统来管理这个存储空间。当然它只是一个简单的管理系统,不可能像PC上那样的数据库管理工具。我们称这个系统为“记录管理系统(...
[转载]RMS从入门到精通之三
congji3817的博客
04-02 280
RMS从入门到精通之三前面两篇文章详细的介绍了Record Management System的基本概念以及对象序列化的问题,现在我们主要介绍关于RecordStore类的使用,在SUN的网站提供了一个RMSAnalyzer类,...
Record Management System 从入门到精通系列之四
mingjava的专栏
07-14 3019
      本文将主要讲述RecordFilter和RecordEnumeration的用法,这在整个Record Management System中都是至关重要的。由于本人觉得RecordComparator和RecordFilter类似并且用出相对小些,因此不再这里做介绍了。我们依然是通过一个示范的应用程序说明如何使用这两个接口。       RecordFilter的定义非常的简单,他只定
验证RMS2.0在Java中的集成和权限管理实践
最新发布
weixin_36369848的博客
07-26 540
在当今数字化转型日益加速的背景下,信息的保护显得尤为关键。RMS2.0(Rights Management Service 2.0)作为一项领先的权限管理技术,提供了全面的文档和数据保护机制。本章将对RMS2.0的核心概念进行浅入深出的介绍,以便读者快速理解并掌握其基本原理。RMS2.0是一套成熟的权限管理解决方案,其主要作用是确保敏感信息的安全性。它允许组织定义谁可以访问、使用或共享特定的信息,并且能够根据策略限制这些行为。
Java RMS相关实例附源码.rar
07-10
Java RMS相关实例附源码,没搞懂这是一个什么程序,好像和手机有关哦,可记录个人信息,想学习Android的话,可以先从这些相关的Java基础知识做起。
Records Management System:保存您的个人或业务记录的数字副本-开源
05-31
您的个人和业务记录被视为私人文件。 你应该避免使用云提供商,甚至谷歌驱动器! 记录管理系统是一个使用 SQLITE 的本地化数据存储,并使用 TWAIN 工具包与任何连接的扫描仪集成(可能需要许可证?) RMS 所基于的资源来自书籍归档系统和记录管理(大学系列)第 3 版可用在亚马逊上https://www.amazon.com/dp/0070614717
MATLAB/simulink中的RMS模块使用!总算被我摸清楚了!!!
hcccccc123456的博客
07-03 1万+
一半我们都是用的蓝色框的,如果运行不了,一般是因为你的编辑器选择了离散的,把它改成连续或者auto就能跑了。把TRUE RMS value选上,这样表示计算所有分量的有效值。不勾选就是只计算基频分量的值。点开之后会让你选择是求行还是求列的平均有效值。(一般离散的话我们也不太用)这个是针对离散的数据求有效值,输入是一个m×n的矩阵形式。simulink中的RMS模块主要有两个。把这个选成auto应该就可以了。第二个是这样长成蓝色的。
Record Management System从入门到精通系列之一
mingjava的专栏
06-23 6554
      Record Management System是J2ME的一个重要的子系统,目的是实现应用程序本地数据的持久性存储。目前支持文件系统的移动信息设备还有限,因此Record Management System是J2ME开发人员实现本地数据存储的首选途径。本文的目的就是全面的介绍Record Management System的知识。       顾名思义Record Managemen
matlab/simulink电力电子仿真有效值RMS设置和使用
weixin_46413772的博客
04-05 5万+
matlab/simulink电力电子仿真RMS有效值设置和使用 1 主要内容 本章的主要内容是在电力电子仿真中 如何计算一个信号的有效值 RMS模块的参数设置和使用 2 如何计算有效值 其实计算有效值大致有两种方式,一种是利用RMS模块(RMS就是有效值的意思),另外一种是利用在Scope模块里面的统计功能。 第二种我已经会了就不写了,RMS模块是刚学会的,所以记录一下。如果对第二种方法有疑问的可以留言,我会及时回复的。 2.1 RMS模块的选择 由于我自己是做电力电子仿真的,所以只讲针对电力电子元件
RMS计算方法
热门推荐
shjhuang的专栏
05-09 7万+
先提一个问题:使用信号发生器输出同一个脉冲方波信号,在示波器上采用直流耦合方式和交流耦合方式,在示波器上得出的RMS值是不一样的,存在很大的差异,为何? RMS是什么 RMS即真有效值,是对交流信号幅度的基本量度,可以分别从实用角度和数学角度予以定义。 从实用角度定义是:一个交流信号的真有效值等于在同一电阻性负载上产生同等热量所需的直流量。例如,1V真有效值交
Record Management System从入门到精通系列之二
mingjava的专栏
06-23 2716
      在系列之一中,我们着重讲述了Record Management System的基础知识。在介绍如何使用Record Management System之前,我想首先介绍一下Java IO以及在J2ME平台实现序列化的内容,无论对Record Management System还是MIDP中的通用联网框架来说,上述内容都是非常重要的。       在CLDC中定义的Java IO是非常短
打造自己的RMS框架(一) RMS概念
千里积于跬步,江海成于小流
12-18 1257
     在J2ME的运用中,RMS是我们必须要掌握的知识。在运用RMS之前,我们有必要清楚的了解一下RMS的概念,这或许比较枯燥,但是对我们的运用和理解还是有帮助的。     由于在MIDP程序中是以jar的形式打包存储的,所以在jar中无法写入数据,但是系统单独开辟了存储空间用来存储数据和管理存储空间的管理系统。记录存储概念      MIDP中的MIDlet为了实现数据的持久化管
SECS\GEM RMS系统简介
panda_225400的博客
08-25 1万+
转眼已在半导体行业工作了5个年头,慢慢的对半导体的工艺和设备从不懂小白也转换成了小有了解,因为经常要面对产线设备生产过程中出现的问题并要去解决它,所以对GEM流程和SECS协议也比较好认知。先简单介绍下SECS/GEM通讯协议。 SEMI SECS/GEM标准概述 SECS是SEMI设备通讯标准的缩写。GEM指SEMI连接性标准E30,被定义为制造设备实现通讯和控制的一般模型。一般来说,SECS/GEM标准定义了信息、状态机和情境,来让工厂软件能够控制并监视制造设备。正式名称是SEMI连接性标准E30.
RMS详细例子
无花的专栏
11-10 1168
RMS详细解答 RMS(Record Management System)是MIDP中一个非常重要的子系统. 它提供了对数据的持久存储.对于存放程序数据是个唯一的选择(如果不用jsr75规范的话). 对于jsr75,我在以前的文章里已经有了篇详细的例子,大家可以参考下. [url]http://wuhua.iteye.com/admin/show/28712[/url] 对于RMS里面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值