Spring Cloud Function Spel表达式注入

最新推荐文章于 2024-05-13 22:06:45 发布
最新推荐文章于 2024-05-13 22:06:45 发布
阅读量5.9k 收藏 2
点赞数 1
分类专栏: java安全 安全 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/123963645
版权

Spring Cloud Function Spel表达式注入

漏洞概述

Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2( commit dc5128b 之前)存在SpEL表达式执行导致的RCE。

环境搭建

在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。

image-20220403220315187

选择Spring Web Spring Cloud function

image-20220403222049811

最新版本3.2.2也是存在漏洞的,若在官方出新版本后想要复现此漏洞,那么需要修改pom中spring-cloud-function-web的版本为3.2.2,如下图所示:

image-20220403222337581

确认项目中的spring-cloud-function-web是存在漏洞版本后,就可以直接启动项目了,无需进行任何修改。

漏洞复现

弹计算器payload

POST /functionRouter HTTP/1.1
Host:127.0.0.1:8080
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("calc")
Content-Type:application/x-www-form-urlencoded
Content-Length: 3

xxx

看一眼POC就知道其实就是简单的在请求的headers头上添加一个spring.cloud.function.routing-expression参数

SpringCloud Function会直接将其参数内容直接带入到SPEL中查询,造成SPEL漏洞注入。

image-20220403231631626

漏洞分析

漏洞是出在SpringCloud Function的RoutingFunction功能上,其功能的目的本身就是为了微服务应运而生的,可以直接通过HTTP请求与单个的函数进行交互,同时为spring.cloud.function.definition参数提供您要调用的函数的名称。

为了更好的分析,可以先在springcloudfunctionspel\src\main\java\com\example\springcloudfunctionspel\SpringcloudfunctionspelApplication.java中写测试Demo

image-20220403232848334

然后再进行访问,请求中写出存在的函数就能够调用

POST /functionRouter HTTP/1.1
Host: localhost:8080
spring.cloud.function.definition: uppercase
Content-Type: text/plain
Content-Length: 3

abc

image-20220403233039490

成功得到abc的大写结果ABC

漏洞存在于header头的spring.cloud.function.routing-expression参数

,和definition相同,他也是官方提供的功能。

在org.springframework.cloud.function.web.util.FunctionWebRequestProcessingHelper#processRequest方法下断点

image-20220405001126121

程序会判断当前请求是否为RoutingFunction

image-20220405001144798

并将我们提交的请求头和请求体内容编译成Message并且传入FunctionInvocationWrapper的apply方法中

image-20220405001504170

跟进RoutingFunction的apply方法

image-20220405001656778

最后进入到org.springframework.cloud.function.context.config.RoutingFunction#route方法中

image-20220405001743831

然后在这里判断了请求headers头中有没有spring.cloud.function.routing-expression参数(这里可以清晰的看到spring.cloud.function.definition也是在这里做判断的)

并将结果带入到this.functionFromExpression()方法中

image-20220405002455553

在这里最后SpelExpressionParser解析了Spel表达式,调用了expression.getValue导致Spel表达式注入

image-20220405003124333

而他的EvaluationContext又采取了默认的StandardEvaluationContext,在不指定EvaluationContext的情况下默认采用的是StandardEvaluationContext,而它包含了SpEL的所有功能,在允许用户控制输入的情况下SpEL表达式是可以操作类及其方法的,可以通过类类型表达式T(Type)或者直接new来调用任意对象的任意方法,成功造成任意命令执行。

image-20220405004040946

补丁分析

  • https://github.com/spring-cloud/spring-cloud-function/commit/dc5128b80c6c04232a081458f637c81a64fa9b52

由于又是Spel注入问题,很容易定位到Context

image-20220330141227267

新增了headerEvalContext常量为SimpleEvaluationContext,显然是为了替换evalContext常量的StandardEvaluationContext而创建的

image-20220403231314162

增加了判断来源是否是header,如果是header就使用属于SimpleEvaluationContext的headerEvalContext,不是header才会使用属于StandardEvaluationContext的evalContext。

从而解决了发送恶意请求就能够RCE的问题。

后记

整个流程也是很清晰,就是官方提供的类似spring.cloud.function.definition的功能,spring.cloud.function.routing-expression有解析Spel表达式的能力,而且使用的是默认的StandardEvaluationContext。最终Spel表达式注入造成了命令执行。

Spring Cloud Gateway rce其实是相似的,都是官方提供的功能有Spel表达式解析能力,但都没有对指定EvaluationContext,采用默认的StandardEvaluationContext从而导致了命令执行。

不过这个影响范围在国内是更小的,后续的回显链挖掘也没有进行(也是因为影响范围吧)

参考

  • https://www.cnblogs.com/wh4am1/p/16062306.html
6ri9ht
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud Function实践入门
zhulier1124的博客
08-29 1万+
SpringCloud Function作为SpringCloud家族成员最早在2017年提出,项目主要负责人为Mark Fisher,目前已经来到了3.0版本。SpringCloud Function的出现旨在为快速发展的Serverless市场提供一个Spring的接入路径,使用SpringCloud Function进行无服务(我这里直接称为函数式编程)的项目开发可以大大节约成本,同...
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
vulfocus复现:Spring Cloud Function SPEL 远程代码执行
woai_zhongguo的博客
07-18 1214
Vulfocus复现:Spring Cloud Function SPEL 远程代码执行
SpringCloud 集成 RocketMQ 示例及配置详解
最新发布
demo_yo的博客
05-13 1614
定义Spring Cloud Stream 是一个用来为微服务应用构建消息驱动能力的框架。它可以基于 Spring Boot 来创建独立的、可用于生产的 Spring 应用程序。Spring Cloud Stream 为一些供应商的消息中间件产品提供了个性化的自动化配置实现,并引入了发布-订阅、消费组、分区这三个核心概念。简单的说,Spring Cloud Stream本质上就是整合了Spring Boot和Spring Integration,实现了一套轻量级的消息驱动的微服务框架。抽象模型。
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行 漏洞复现
热爱学习,喜欢折腾!
08-28 5245
SpringCloud 是一套分布式系统的解决方案,实现就是函数式编程,在视频转码、音视频转换、数据仓库ETL等与状态相关度低的领域运用的比较多。开发者无需关注服务器环境运维等问题上,专注于自身业务逻辑实现即可。在Spring Cloud Function版本3.1.6,3.2.2和更早的不受支持的版本中,当使用路由功能时,用户可以提供特制的SpEL作为路由表达式,这可能导致远程执行代码和访问本地资源。............
SPEL表达式注入漏洞
weixin_50217210的博客
03-11 2030
SPEL,全称为Spring表达式语言,是一个由 Spring 框架提供的表达式语言。它是一种基于字符串的表达式语言,可以在运行时对对象进行查询和操作。SpEL 支持在XML和注解配置中使用,它可以在Spring框架的各种组件中使用,如Spring MVC 控制器、Spring Security 安全框架、Spring Data 数据访问框架等。它可以方便地访问对象的属性、调用对象的方法、进行数学运算、逻辑运算、正则表达式匹配等操作。
Spring Cloud Function SPEL表达式注入漏洞分析(CVE-2022-22963)
panda的博客
04-05 2352
影响范围: 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2 项目简介: Spring Cloud Function 是一个具有以下高级目标的项目: 通过函数促进业务逻辑的实现,可以将函数设置为HTTP端点。 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为 Web 端点、流处理器或任务运行。 支持跨无服务器提供商的统一编程模型,以及独立运行(本地或在 PaaS 中)的能力。 在无服务器提供程序上启用 Spring Boo
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
在分析该漏洞时,我们可以看到,SpEL 注入漏洞的成因是由于 SpringCloud Function 的一个特性,即可以使用 SpEL 表达式来定义函数的路由规则。当攻击者可以控制 SpEL 表达式时,就可以 Inject 恶意代码,从而导致...
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpELSpring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
Spring spel表达式使用方法示例
08-29
Spring spel表达式使用方法示例 Spring spel表达式是一种功能强大且灵活的表达式语言,它允许开发者在Spring应用程序中使用表达式来实现复杂的逻辑操作。 Spring spel表达式可以用于引用bean、调用方法、计算表达式...
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
HEAVEN569的博客
06-21 1568
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
Spring高手之路3——揭秘Spring依赖注入SpEL表达式
卓越无关环境,保持空杯心态——靡不有初,鲜克有终
06-06 6385
在本文中,我们深入探讨了Spring框架中的属性注入技术,包括setter注入、构造器注入、注解式属性注入,以及使用SpEL表达式进行属性注入。我们通过XML和注解两种方式,详细讲解了如何进行属性注入,并给出了完整的代码示例。无论你是Spring新手,还是有一定经验的开发者,本文都将帮助你理解并掌握Spring中的属性注入技术。
Spring Cloud GateWay SPEL RCE(CVE-2022-22947 )
weixin_43263451的博客
08-15 1431
这个漏洞本质是一个SPEL注入漏洞,需要应用暴漏actuator接口用来动态添加路由当Gateway Actuator端点是启用状态并且是允许访问的以及相关配置不安全时,使用Spring Cloud Gateway的应用程序容易受到代码注入攻击。远程攻击者可以利用Actuator动态添加恶意路由,若路由中包括SPEL表达式则在路由刷新时会对其进行解析从而达到SPEL表达式注入本质是一个SPEL表达式注入漏洞,本来是只有在修改路由配置文件的情况下才能导致RCE,但是由于Gateway提供了Actuator。.
Cloud Functions
随笔记录-分享&记忆
04-04 2180
Cloud Functions 概览 Google Cloud Functions 是用于构建和连接云端服务的一种无服务器执行环境,随需求变化从零扩展到零 什么是 Google Cloud Functions? Google Cloud Functions 是用于构建和连接云端服务的一种无服务器执行环境。借助 Cloud Functions,您可以编写单一用途的简单函数,并将这些函数与您的云基础架构和服务发出的事件进行关联。当所监控的事件发生时,您的函数就会被触发。您的代码将在完全托管的环境中执行。您无需预
Spring Cloud function CVE-2022-22963
王嘟嘟的博客
04-14 3512
0x00 前言 洞出来了有一段时间了,还是简单的来看一下。 0x01 概述 1.Spring Cloud function 主要功能: 通过功能促进业务逻辑的实现。 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为Web端点,流处理器或任务运行。 支持无服务器提供商之间的统一编程模型,以及独立运行(本地或PaaS)的能力。 在无服务器提供商上启用Spring Boot功能(自动配置,依赖注入,指标)。 2.影响版本 3 <= 版本 <= 3.2.2 0x02 漏
Spring系列学习之Spring Cloud Function微服务功能目标实现
纸上得来终觉浅,绝知此事要躬行
12-24 8159
英文原文:https://cloud.spring.io/spring-cloud-function/ 目录 Spring Cloud Function 特性 发布版本 示例项目 Spring Cloud Function Spring Cloud Function是一个具有以下高级目标的项目:      通过功能促进业务逻辑的实现。      将业务逻辑的开发生命周期与任何特定...
SpringSpEL 一 语法总结与示例
小水牛的博客
02-26 1257
这里写目录标题前言 前言 Spring Expression Language (SpEL),Spring 表达式 本文旨在总结 SpEL 的常用语法并给出对应的示例 demo,同时浅析 org.springframework.expression.PropertyAccessor 的使用与 自定义
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpELSpring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值