CVE-2022-22963 Spring Cloud Function functionRouter SPEL命令执行漏洞复现

漏洞简述

Spring Cloud Function是基于 Spring Boot 的函数框架。由于 Spring Cloud Function 对用户输入的参数安全处理不严，未授权的攻击者可构造特定的数据包，通过特定的 HTTP 请求头进行 SpEL 表达式注入攻击，从而可执行任意的恶意 Java 代码，获取服务权限。

ext2/ext3/ext4 文件系统调试器

debugfs

在不依赖第三方数据恢复软件的情况下，linux自带适用于常规数据恢复的程序当属debugfs。该命令功能强大，在我数据恢复系列的前几篇文章中频繁提到。但是国内对debugfs详细使用介绍较少且不全面。故专门用一篇文章来介绍debugfs使用，可以对数据恢复有更深刻的理解。

上周溯源某挖矿case，在排查过程中发现挖矿文件被人为删除。最终通过确定文件被删除的时间以缩小排查ssh登录的时间范围从而锁定了可疑ip。该case引发了我的思考，linux下如何查找最近被删除的文件？本文是数据恢复的第三篇文章，只是快速找到被删除文件，并不涉及如何恢复文件本身。

在上一篇文章《数据恢复(一)-linux下ext文件系统数据删除原理浅析》中分析了ext数据删除的原理，这篇文章中会结合实例分析数据恢复的原理。

漏洞简述

向日葵远程控制软件是一款远程控制软件。2022年2月互联网披露向日葵远程控制软件旧版本中存在远程命令执行漏洞，向日葵远程控制软件会监听高端口（默认40000以上），攻击者可构造恶意请求获取Session，从而通过身份认证后利用向日葵远程控制软件相关API接口执行任意命令。低版本向日葵RCE主要发生在对外开放的接口/check处，当cmd的值为ping/nslookup开头时触发。

应急工作中经常会遇到日志或关键信息文件等被删除的情况，为溯源排查带来了不小的阻碍。但是大多数文件被删除的情况都并非真正意义上的删除（除非文件block位置已经被覆盖），数据还在磁盘上都是有恢复的可能。本文对linux下文件系统的文件删除机制并结合相关删除的案例进行分析。

导语