Spring Boot Actuator未授权访问漏洞利用

原创 已于 2023-11-29 16:53:15 修改 · 2.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2023-11-29 16:44:18 首次发布
本文详细描述了SpringBootActuator中的未授权访问漏洞,涉及`/env`端点可能导致环境属性泄露,特别是通过`heapdump`暴露JAVA堆dump信息,可能进一步引发更严重的安全威胁。

Spring Boot Actuator未授权访问漏洞利用

1. 漏洞描述

Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。

2. 端点

官方文档对每个端点的功能进行了描述。

路径	描述
/autoconfig	提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过
/beans	描述应用程序上下文里全部的Bean,以及它们的关系
/env	获取全部环境属性
/configprops	描述配置属性(包含默认值)如何注入Bean
/dump	获取线程活动的快照
/health	报告应用程序的健康指标,这些值由HealthIndicator的实现类提供
/info	获取应用程序的定制信息,这些信息由info打头的属性提供
/mappings	描述全部的URI路径,以及它们和控制器(包含Actuator端点)的映射关系
/metrics	报告各种应用程序度量信息,比如内存用量和HTTP请求计数
/shutdown	关闭应用程序,要求endpoints.shutdown.enabled设置为true
/trace	提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)

漏洞访问

/env,获取全部环境属性

image-20231129155333324

漏洞利用

/heapdump 泄露JAVA堆dump信息,可以用dump分析工具进行查看

image-20231129155932870

第一种工具

image-20231129160441255

第二种工具

java自带的分析工具

java目录输入jvisualvm就可打开

jvisualvm
查询语句
select s.value.toString() from java.lang.String s where /pass/.test(s.value.toString())
select s.value.toString() from java.util.Hashtable$Entry s where /password/.test(s.key.toString())

image-20231129161657207image-20231129162915279

image-20231129161645707

总结

这个漏洞一般是未授权导致信息泄露,更进一步危害还需要找敏感信息,比如sql、redis等账号密码,不过一般都存在这些东西

ps:真实环境所以打码,干活时开发的说这不是洞,不修,结果只好继续通过/heapdump利用,找到数据库密码,连接、截图一气呵成

放个图

8a55bf350a4d4e90890c83a7a64955af

Spring Boot Actuator详解与漏洞利用
李同學的安全圈
08-19 7370
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。ActuatorSpring Boot提供的对应用系统的监控和管理。
漏洞复现 - - - Springboot未授权访问
weixin_67503304的博客
09-05 2万+
讲解了 Springboot未授权访问漏洞的原理,并且利用反弹shell的方式进行了漏洞复现,包括使用了powershell脚本文件
Springboot Actuator未授权访问漏洞
weixin_53736204的博客
08-05 768
Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.
SpringbootActuator未授权访问漏洞
最新发布
2509_94104892的博客
11-20 324
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
springboot未授权访问&CVE-2014-3566
qq_42430287的博客
02-23 783
springboot actuator未授权访问 Spring Boot 1.x版本端点在根URL下注册 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /beans 描述应用程序上下文里全部的Bean,以及它们的关系 /env 获取全部环境属性 /configprops 描述配置属性(包含默认值)如何注入Be...
【高危】Spring Boot Actuator未授权访问
imudges_hanhaoyu的博客
05-29 1895
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
Arvin627的博客
04-29 5391
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 4万+
1、信息泄露:未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
Spring Boot 未授权访问漏洞利用
bmaoHk的博客
10-04 3668
Spring Boot是由Pivotal团队提供的一套开源框架,可以简化spring应用的创建及部署。它提供了丰富的Spring模块化支持,可以帮助开发者更轻松快捷地构建出企业级应用。Spring Boot通过自动配置功能,降低了复杂性,同时支持基于JVM的多种开源框架,可以缩短开发时间,使开发更加简单和高效,在应用系统中占比较大。因此当某些端点存在配置不当的时候,就有可能导致一些系统信息泄露、 RCE 等安全问题。● Spring Boot 1.x版本端点在根URL下注册。
SpringBoot Actuator 未授权访问漏洞
m0_73399576的博客
07-09 3514
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 5165
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
springboot Actuator未授权访问漏洞
qq_45382625的博客
08-29 1203
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
Spring Boot Actuator 未授权访问漏洞
09-03
Spring Boot ActuatorSpring Boot提供的服务监控和管理中间件,借助该模块开发者能方便地对应用系统某些监控指标进行查看、统计等[^1][^3]。 ### 漏洞原理 在Actuator启用的情况下,如果没有做好相关的权限控制,非法用户可以通过直接访问默认或暴露的Actuator端点来获取应用系统的敏感信息或执行恶意操作。默认配置会出现接口未授权访问的情况,使得非法用户有机可乘[^1][^2]。 ### 漏洞影响 - **信息泄露**:非法用户能够获取应用程序的配置信息、环境属性、日志内容等敏感数据[^2]。 - **系统破坏**:可以修改配置、篡改数据、重启应用程序、关闭数据库连接等,破坏应用程序的正常运行[^2]。 - **命令执行**:在特定条件下(如使用Jolokia库),可能远程执行任意代码,获取服务器权限[^2]。 ### 修复方案 关于Spring Boot Actuator未授权访问远程代码执行漏洞的具体修复方案,给定引用中未提及。通常可以从以下几个方面进行修复: - **配置权限控制**:为Actuator端点配置合适的访问权限,例如使用Spring Security对端点进行访问控制,只允许授权用户访问。 - **限制端点暴露**:只暴露必要的Actuator端点,将不必要的端点进行隐藏或禁用。 ```java // 示例代码:使用Spring Security配置Actuator端点访问权限 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/actuator/**").hasRole("ADMIN") .anyRequest().permitAll() .and() .formLogin(); } } ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值