Spring Cloud Function SPEL表达式注入漏洞分析(CVE-2022-22963)

已于 2022-04-08 23:08:09 修改
阅读量2.3k 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: spring cloud spring web安全
于 2022-04-05 10:16:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44112065/article/details/123965187
版权

影响范围:

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

项目简介:

Spring Cloud Function 是一个具有以下高级目标的项目:

  • 通过函数促进业务逻辑的实现,可以将函数设置为HTTP端点
  • 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为 Web 端点、流处理器或任务运行。
  • 支持跨无服务器提供商的统一编程模型,以及独立运行(本地或在 PaaS 中)的能力。
  • 在无服务器提供程序上启用 Spring Boot 功能(自动配置、依赖注入、指标)

漏洞分析:

首先在项目中找到关键点,把项目从github导入IDEA,发现没有搭建成功,换成JDK17也不行,网上关于这个项目的资料寥寥无几,索性直接看源码找了,在下图中routingExpression直接会被解析执行,并且context也是StandardEvaluationContext,接下来就是找这个参数了
在这里插入图片描述
在这里插入图片描述
在同一个文件中该函数就会被调用,一个是(String) message.getHeaders().get("spring.cloud.function.routing-expression"),一个是functionProperties.getRoutingExpression(),两个都不确定是否可控
在这里插入图片描述
先看functionProperties,在构造函数中赋值
在这里插入图片描述
最终找到了functionRouter,该函数添加了@Bean注解,Spring Cloud Function 项目中核心是推动基于函数的编程模型,而不是熟悉的 POJO 模型,满足一定条件并被@Bean注解后就可以将函数作为HTTP端点进行访问,发现代码中没有出现functionRouter后,可能这里也作为了HTTP端点进行访问了,但是参数怎么在数据包中设置还得继续看文档。没有找到相关的内容,所以先跳过这个参数了,回到之前找另一个参数(String) message.getHeaders().get("spring.cloud.function.definition")
在这里插入图片描述
message的信息,在apply函数中会进行调用,apply函数经过查询文档之后发现应命名函数的结果,也就是在调用@Bean注解标记后的函数时会执行apply
在这里插入图片描述
在这里插入图片描述
查看官方文档,这里说明了RoutingFunction注册在FunctionCatalog中的名称下functionRouter,也就是说访问functionRouter时就会调用对应apply,而apply中正好调用了route,这也与代码中的一致,因此可以通过functionRouter成功执行到触发点,接下来还需要知道(String) message.getHeaders().get("spring.cloud.function.routing-expression"),这个值如何控制
在这里插入图片描述
在这里插入图片描述
(String) message.getHeaders().get("spring.cloud.function.routing-expression")仔细看这个方法,getHeaders,很容易能想到请求包中也有header,接下来就是到官方文档求证…
在这里插入图片描述
总结一下:

1、Spring Cloud Function 项目是基于函数的编程模型,而functionRouter注册成为了HTTP端点

2、在functionRouter函数中会调用RoutingFunction,同时执行apply方法

3、apply()中会调用route方法,在该方法中会判断请求内容是否为Message,如果有数据那么会将Hander中的spring.cloud.function.routing-expression进行SpEL表达式进行解析

漏洞复现:

可以自己搭建也直接使用github上师傅的环境使用IDEA进行搭建,JDK版本为17

https://github.com/cckuailong/spring-cloud-function-SpEL-RCE

POST /functionRouter HTTP/1.1
host:127.0.0.1:8080
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.2 Safari/605.1.15
Connection: close
spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("open -a /System/Applications/Calculator.app")
Content-Length: 16

xxx

在这里插入图片描述
在复现中还发现一点没有分析到,可以在配置文件中配置默认路由,当访问不存在的路由时就会访问指定的该路由,当配置了以下内容时访问不存在的路有也会执行访问functionRouter的内容

spring.cloud.function.definition:functionRouter

因此在配置之后访问不存在的路由就可以执行,堪称死亡配置…
在这里插入图片描述
补丁分析:

查看提交分支

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

设置SimpleEvaluationContext来进行防御
在这里插入图片描述
在这里插入图片描述
总结:

这个漏洞的分析没有Spring Cloud Gateway那么顺利,因为这个项目的官方文档比较难懂,而且网上关于这个项目的使用也很少,可能是国内很少采用基于函数的编程方式吧。只能依靠官方文档和一些简单的教程去理解分析,由于没有调试,可能中间会缺少一些细节部分,分析有误的地方请大佬们及时指正~

参考内容:

  • https://spring.io/projects/spring-cloud-function#overview
  • https://docs.spring.io/spring-cloud-function/docs/3.1.7/reference/html/spring-cloud-function.html
  • https://github.com/cckuailong/spring-cloud-function-SpEL-RCE

喜欢的大佬们可以添加我的公众号,我会在公众号里持续分享一些安全的内容,可以一起交流~

在这里插入图片描述

大槐TuT
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-22963 Spring Cloud Function SPEL表达式注入漏洞复现
afei001
03-31 4141
SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it. 存在任何使用问题可以私信本人。
Spring Cloud Function SPEL表达式注入漏洞CVE-2022-22963
chaojixiaojingang
04-06 7537
1.漏洞描述 SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
CVE-2022-22963-Spring-Core-RCE图形化利用工具_poc-yaml-cve-2022-22963-spring-spel-rce
最新发布
2401_83944297的博客
04-17 473
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。资源较为敏感,未展示全面,需要的最下面获取。
Spring Cloud Function SPEL表达式注入漏洞
Blue的博客
04-12 463
漏洞概述 该漏洞是由于Spring Cloud Function中RoutingFunction类的 apply方法将请求头中spring.cloud.function.routing-expression传入的参数值作为SPEL表 达式进行处理,攻击者可以通过构造恶意的语句来实现SPEL表达式注入漏洞。 影响版本 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2 漏洞复现 1.环境搭建 利用编译好的环境进行本地复现,下载地址: ht
Spring Cloud Function Spel表达式注入漏洞分析
m0_67391120的博客
08-24 839
简单了解了一下FaaS的的函数交付模式,和之前研究的容器安全场景下的微服务架构非常的契合,以往的大多数环境主要通过虚拟机交付逐渐演变了成了VPS、容器、API到现在的函数即服务;找到对应方法的RoutingFunction.class的文件内容,定位到对应的第80行的代码出,可以发现该方法主要Message的内容已经被传递过来;相关的配置项目可以在pom.xml当中进行修改,从项目当中可以看到依赖的组件版本为3.2.2是存在漏洞的版本,即可直接启动项目,无需其他的修改;
SpringCloud Function SpEL注入漏洞分析CVE-2022-22963).doc
07-08
SpringCloud Function SpEL注入漏洞分析CVE-2022-22963).doc
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
CVE-2022-22947 SpringCloud GateWay SpEL RCE.doc
07-09
CVE-2022-22947 SpringCloud GateWay SpEL RCE.doc
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
Java漏洞分析-Spring Cloud Function SPEL表达式注入漏洞分析
senior_artist的博客
04-19 1002
Spring Cloud 中的 Serveless框架存在Spel表达式注入,攻击者可通过该漏洞执行任意代码。
CVE-2022-22963 SpringCloud Function SpEL注入漏洞分析
阿道夫的博客
01-30 2070
在研究分析CVE-2022-22980 Spring Data MongoDBSpEL表达式注入漏洞之后,想起之前在spring4shell爆出之前,存在于SpringCloudFunction中的一个SpEL表达式注入漏洞,编号为CVE-2022-22963。在这里对其进行一波分析和学习。
Spring Cloud Function SpEL 代码注入(CVE-2022-22963)漏洞复现
Pluto.的博客
11-21 831
Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)
Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)
不曾扬帆,何以至远方
07-18 2419
Spring Cloud Function SpEL Code Injection (CVE-2022-22963)
[春秋云镜]CVE-2022-22963
niubi707的博客
11-29 630
[春秋云镜]CVE-2022-22963复现
SpringCloudFunction漏洞分析
HongYu012的博客
03-27 1881
SpringCloudFunction是一个SpringBoot开发的Servless中间件(FAAS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2(commit dc5128b之前)存在SpEL表达式执行导致的RCE。 补丁分析 在main分支commit dc5128b中,新增了SimpleEvaluationContext: 由isViaHeader变量作为flag,在解析前判断spring.cloud.function...
春秋云境:CVE-2022-22963
一只爱吃橙子的羊
01-20 766
SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 题目链接为:http://ip:port P.S 卡慢不影响拿flag
CVE-2022-22963-Spring-Core-RCE图形化利用工具
LiBai'S BLOG
04-01 9690
CVE-2022-22963 描述:Spring4Shell - Spring Core RCE - CVE-2022-22965 链接:https://github.com/TheGejr/SpringShell 描述:Spring4Shell Proof Of Concept/Information CVE-2022-22965 链接:https://github.com/BobTheShoplifter/Spring4Shell-POC 描述:This includes CVE-2022-22
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值