Springboot之Actuator的渗透测试和漏洞利用

背景概述

Spring的生态很优秀，而使用Spring Boot的开发者也比较多。

Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息。常常使用不当或者一些不经意的疏忽，可能造成信息泄露等严重的安全隐患。

实际挖掘 actuator 配置不当的漏洞分如下两步：

判断和识别测试项目的web 应用采用的框架为 springboot 框架；

尝试进行执行器端点路径的枚举（本文后面会有写到），并根据实际情况加以利用

一、如何识别Spring Boot

通常有两个方法：

1.访问WEB页面，观察地址栏或者标签页前面的icon图标，是否为绿色小树叶（开发者没有修改的情况下，spring 框架默认为该图标）

2.构造错误的目录或者文件名等，让 Springboot 框架产生默认的报错页面（如开发人员没有修改Springboot框架的默认400系列、500系列的报错页面，会报错如下（也被称为白标签报错页），到这里基本可以确定Spring Boot框架。

综合利用：

在实际中可以综合两个方法一起进行判断，比如先观察有无绿色树叶图标。

尝试访问不同的目录，尝试在不同目录下400系列或500系列的报错，观察是否出现 Whitelabel Error Page 提示信息。当确定使用了springboot 框架后，就可以尝试进行第二步的端点路径的枚举了

二、端点路径的枚举

通过手动或者脚本来枚举测试网站的所有父目录和子目录，然后用脚本对前一步的每个目录进行探测，确定是否存在 actuator 执行端点的路径。

Actuator 提供的执行器端点分为两类：原生端点和用户自定义扩展端点

原生端点主要包括:

路径	描述
/autoconfig	提供了一份自动配置报告，记录哪些自动配置条件通过了，哪些没通过
/beans	描述应用程序上下文里全部的Bean，以及它们的关系
/env	获取全部环境属性
/env/{name}	根据名称获取特定的环境属性值
/dump	获取线程活动的快照
/health	报告应用程序的健康指标，这些值由HealthIndicator的实现类提供
/info	获取应用程序的定制信息，这些信息由info打头的属性提供
/metrics	报告各种应用程序度量信息，比如内存用量和HTTP请求计数
/shutdown	关闭应用程序，要求endpoints.shutdown.enabled设置为true
/trace	提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)
/heapdump	返回一个GZip压缩的JVM堆dump

需要注意

有些程序员会自定义/manage、/management 、项目App相关名称为 spring 根路径

Spring Boot Actuator 1.x 版本默认内置路由的起始路径为 / ，2.x 版本则统一以 /actuator 为起始路径

Spring Boot Actuator 默认的内置路由名字，如 /env 有时候也会被程序员修改，比如修改成 /appenv

对于寻找漏洞比较重要接口的有：

/env、/actuator/env

GET 请求 /env 会直接泄露环境变量、内网地址、配置中的用户名等信息；当程序员的属性名命名不规范，例如 password 写成 psasword、pwd 时，会泄露密码明文；

同时有一定概率可以通过 POST 请求 /env 接口设置一些属性，间接触发相关 RCE 漏洞；同时有概率获得星号遮掩的密码、密钥等重要隐私信息的明文。
/trace、/actuator/httptrace

一些 http 请求包访问跟踪信息，有可能在其中发现内网应用系统的一些请求信息详情；以及有效用户或管理员的 cookie、jwt token 等信息。
/refresh、/actuator/refresh

POST 请求 /env 接口设置属性后，可同时配合 POST 请求 /refresh 接口刷新属性变量来触发相关 RCE 漏洞。
/restart、/actuator/restart

暴露出此接口的情况较少；可以配合 POST请求 /env 接口设置属性后，再 POST 请求 /restart 接口重启应用来触发相关 RCE 漏洞。
/jolokia、/actuator/jolokia

可以通过 /jolokia/list 接口寻找可以利用的 MBean，间接触发相关 RCE 漏洞、获得星号遮掩的重要隐私信息的明文等。

三、漏洞的利用

在上一步，如果确定发现了 actuator 的配置漏洞，如需要证明或继续利用该漏洞挖掘其他漏洞，进而组合利用等等，就需要进行其他操作，总结几个常见利用场景

以下几个漏洞属于配置不当引起路由暴露。

1.读取用户的认证字段获取敏感信息

可以直接尝试访问网站目录下的/trace 路径，读取用户认证字段信息，比如在 trace 路径下，会有用户的敏感信息，可能包括 authorization（token、JWT、cookie）等字段，那么就可以利用泄露的认证信息，登陆自己的账户后，替换 JWT，token 字段继续获取其他用户的信息，这些信息足以影响其他用户，

2.数据库账户密码泄露

Actuator作为Spring Boot提供的对应用系统的监控和管理的集成，会监控 mysql之类的数据库服务，那么通过监控信息有可能拿下数据库；直接通过访问其/env 路径获取数据库配置信息，比如数据库的用户名及密码

3.外带明文

直接访问/actuator/，/actuator/env这些执行器端点路径，可能会看到大量接口和敏感信息，如mysql安装路径等等，脱敏之后的password等待。

4.heapdump后台账号密码

尝试访问网站的/actuator/heapdump接口，下载返回的GZip 压缩堆转储文件，使用通过VisualVM/Android studio 加载，通过泄露站点的内存信息，查看到后台账号信息和数据库账号

5.git 项目地址的泄露

一般在在/health 路径，比如直接去访问项目的 health 路径，可探测到站点 git 项目地址，查看源码：

安全修复措施建议

引入 security 依赖，打开安全限制并进行身份验证；同时设置单独的 Actuator 管理端口并配置不对外网开放。

比如，Spring Boot提供了安全限制功能。比如要禁用/env接口，则可设置如下：

endpoints.env.enabled= false

最后，推荐一个Spring Boot相关漏洞学习，利用方法合集，作为黑盒安全评估指南，非常详细

参考地址：https://github.com/LandGrey/SpringBootVulExploit