漏洞挖掘之Spring Cloud注入漏洞

最新推荐文章于 2024-06-12 22:24:08 发布
最新推荐文章于 2024-06-12 22:24:08 发布
阅读量357 收藏
点赞数
分类专栏: java 文章标签: spring cloud java spring junit jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67391377/article/details/126616348
版权

漏洞描述

Spring框架为现代基于java的企业应用程序(在任何类型的部署平台上)提供了一个全面的编程和配置模型。

Spring Cloud 中的 serveless框架 Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成Spel表达式注入,攻击者可通过该漏洞执行任意代码。

利用条件

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

环境搭建

在官方网页新建一个 Spring boot 项目(https://start.spring.io/)、使用idea启动。

t01a6390da1a7dc96bc.jpg

修改 pom.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.5</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>demo</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>17</java.version>
<spring-cloud.version>2021.0.1</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-context</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-task</artifactId>
</dependency>

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>

<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-function-webflux</artifactId>
</dependency>

<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-dependencies</artifactId>
<version>3.2.2</version>
<type>pom</type>
</dependency>

<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-web</artifactId>
<version>3.2.2</version>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>${spring-cloud.version}</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>

<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>

</project>

最后访问 http://127.0.0.1:8080. 出现以下页面表示成功。

【一>所有资源获取<一】
1、很多已经买不到的绝版电子书
2、安全大厂内部的培训资料
3、全套工具包
4、100份src源码技术文档
5、网络安全基础入门、Linux、web安全、攻防方面的视频
6、应急响应笔记 7、 网络安全学习路线
8、ctf夺旗赛解析
9、WEB安全入门笔记

t0164527df56ee9a243.jpg

漏洞复现

漏洞原理

apply方法会将http头部中的Spel表达式进行解析,从而造成Spel表达式注入。

查看官方diff

t015d7efaef903a9715.jpg

t01318b79c886f8c416.jpg

进入springframework/cloud/function/context/config/RoutingFunction文件。进入调试模式、将断点添加到apply()方法。

t011224341ff22fadbb.jpg

进入到apply()方法后、会调用route() 在该方法中会去判读input是否为 message的实例,function 是否为空、然后进入else if 去获取头信息、获取key值 spring.cloud.function.routing-expression 、在中间会对有无空格做判断。然后继续向下走。

t014d2f96789d58f2fd.jpg

会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。

t01a01d3622b0bdfe47.jpg

routingExpression 会做为参数传入到springframework/expression/common/TemplateAwareExpressionParser/parseExpression()方法中。

t0161908062a2cbcf89.jpg

判读其context是否为none值 在进入

springframework/expression/spel/standard/SpelExpressionParser/doPareExpression() 会new 一个 InternalSpelExpressionParser 类调用 doPareExpression() 继续跟进。

t0102a1a099bc8c5e27.jpg

在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。

t0186bd3a27048b16bd.jpg

会new 一个SpelExpression() 跟进到

springframwork/expression/spel/standard/SpelExpression/SpelExpression()。

t014d24dc80dca4e616.jpg

SpelExpression()方法中会将将表达式赋值到this.expression继续跟进 return到 springframework/expression/spel/standard/SpelpressionParser/doParseExpression()、继续return到springframework/expression/common/TemplateAwareExpressionPareser/pareExpression()、return
springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()

t013c4af6eb1ef249bc.jpg

在functionFromExpression()方法中会进入MessageUtils.toCaseInsensitiveHeadersStructure()。

t01998ffbb758a487c1.jpg

调用MessageStructureWithCaseInsensitiveHeaderKeys(),进入到putAll()方法 获取message中头信息。

t017b4852c2849bc934.jpg

最后会进入漏洞触发点。

t011f93cfffb35c7ef0.jpg

漏洞测试

Payload 的构造可以参考官方测试用例。

image.png

本次利用创建文件测试。使用payloadtouch/tmp/xxxxxx.test.test。

image.png

t01e6aa507c11faa341.jpg

嗯嗯嗯吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud Function SpEL表达式注入漏洞分析
include_voidmain的博客
04-06 1962
0x01 影响版本 V3.0.0.M3 - V3.2.2 0x02 漏洞分析 使用该环境进行测试: https://github.com/jwwam/scfunc -依赖版本改成3.2.2查看修复的记录 https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f 看到设置了一个isViaHeader,通过它的值来选择是使用 SimpleEvaluationCont
Spring Cloud 再爆高危漏洞.... 赶紧修复
终码一生
03-07 5139
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。。 2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947: 版本/分支/tag:3.4.X 问题描述: Spring Cloud Gateway 是 Spring Cloud .
Spring Cloud Getway RCE漏洞
最新发布
qq_73630656的博客
06-12 721
Spring Cloud Gateway 启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码
突发!Spring Cloud 爆高危漏洞。。赶紧修复!
良月柒
03-12 249
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:网络Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚告一段落,Spring Clou...
Spring 漏洞分析
weixin_30576859的博客
09-23 439
http://drops.wooyun.org/tips/2892 Spring框架问题分析 tang3·2014/09/01 11:29·来自乌云知识库 0x00 概述 Spring作为使用最为广泛的Java Web框架之一,拥有大量的用户。也由于用户量的庞大,Spring框架成为漏洞挖掘者关注的目标,在Struts漏洞狂出的如今,Spring也许正在被酝酿一场大的危机。 ...
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
热门推荐
xiaobai_20190815的博客
04-08 1万+
一、漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 3月1日,VMware发布安全公告,Spring Cloud Gateway中存在远程代码执行漏洞(CVE-2022-22947),该漏洞的CVSSv3评分为10.0。当启用或暴露不安全的 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序容易受到代
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
SpringCloud视频教程全套百度网盘
03-01
第1章 SpringCloud简介 第2章 SpringCache缓存详细讲解及应用 第3章 Redis高级缓存讲解及应用 第4章 SpringSecurity安全详细讲解及应用 第5章 RabbitMQ高级消息的讲解及应用 第6章 ElasticSearch详细讲解及应用 第7...
SpringCloud中文文档
03-10
Spring Cloud中文文档 Spring Cloud 是一个用于快速构建分布式系统的工具集,提供了配置管理、服务发现、断路器、智能路由、微代理、控制总线等多种功能。这些功能可以帮助开发人员快速地支持实现分布式系统中的...
Spring Cloud实战 _springcloud实战_springcloud_
09-30
Spring Cloud实战》一书深入探讨了Spring Cloud这一强大的微服务框架,它是当前软件开发领域中最受欢迎的构建微服务架构的工具。Spring Cloud基于Spring Boot的便利性,为开发者提供了全面的微服务开发支持,包括...
springcloud 完整练习项目
03-07
标题中的“springcloud 完整练习项目”意味着这是一个包含了多个 Spring Cloud 组件的实战项目,涵盖了从基础到进阶的多个层面。接下来我们将逐一解析其中的关键知识点: 1. **Eureka**:Eureka 是 Spring Cloud 中...
Spring Cloud Config目录遍历漏洞(CVE-2019-3799)
Li-D的博客
09-16 2410
漏洞描述 Spring Cloud Config目录遍历漏洞的本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件。攻击者可以构建恶意URL以利用目录遍历漏洞漏洞危害 由于spring-cloud-config-server模块未对传入路径进行安全限制,攻击者可以利用多个…%252f进行目录遍历,查看服务器其他路径的敏感文件,造成敏感信息泄露。 漏洞影响版本 Spring Cloud Config 2.1.0 to 2.1.1 Spring Cloud Conf
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
嘟的博客
07-11 293
SpringCloud Gateway 是 Spring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactxor 等技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。:受影响版本的用户需要应用以下修正。
突发!Spring Cloud 爆高危漏洞。。赶紧修复!!
emprere的博客
03-20 425
点击关注公众号,回复“2T”获取2TB学习资源!互联网架构师后台回复2T有特别礼包上一篇:卧槽!迅雷的代码竟然被扒了精光!Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚...
Spring Cloud Gateway(CVE-2022-22947)漏洞复现
swordheart的博客
05-12 2179
1.漏洞介绍 当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。 2.漏洞复现 2.1更新vulhub,切换到vulhub的目录git pull 拉取vulhub进行更新 2.2 进入cve-2022-22947,启动容器 2.3 访问漏洞环境 2.4 burp抓包,添加包含恶意的路由 POST .
springxml外部注入漏洞(CVE-2013-4152)
dingo的小黑屋
11-05 595
8月22号spring爆了一个xml外部注入漏洞(CVE-2013-4152),漏洞链接: http://www.nsfocus.net/vulndb/24471 这个其实是一个比较老的xml注入漏洞,不仅仅是 java, php和python等一些语言的xml解析库都受影响。 简单描述就是:如果应用有这样的功能 —— 程序从外部获取用户控制的xml,并且解析这些xml,由于xml中可以...
Spring Cloud 再爆高危漏洞.... 赶紧修复!!
Java 架构师之路
03-11 201
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达 大家好,我是燕子Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。...
Spring Cloud Gateway中存在远程代码执行漏洞容易受到代码注入攻击
happy_a_bin的博客
04-20 694
一、漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。二、影响版本 Spring Cloud Gateway 3.1.0 Spring Cloud Gateway 3.0.0 - 3.0.6 Spring Cloud Gateway 其它不支持的、已不再更新的版本 三、处置措施 1、立刻升级至3.0.7以上(不含3.1.0)或3.1.1以上;
spring boot框架表达式注入漏洞
weixin_34343308的博客
09-01 984
高危漏洞的曝光总是发生在意想不到的时刻:周末所有人都准备享受周末的时间,Spring Boot框架的SpEL表达式注入通用漏洞曝光,利用该漏洞,远程攻击者在服务器上可执行任意命令――该漏洞影响Spring Boot版本从1.1-1.3.0,建议在使用存在此缺陷版本Spring Boot的企业立即将之升级至1.3.1或以上版本。 spring boot框架...
spring cloud漏洞
09-16
Spring Cloud Gateway存在一个远程代码执行漏洞(CVE-2022-22947),具体详情可以参考和。根据公告描述,当启用和暴露Gateway Actuator端点时,攻击者可以发送特制的恶意请求,从而远程执行任意代码。这个漏洞可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值