Springboot之actuator配置不當的漏洞利用
前言
Actuator 是 springboot 提供的用來對應用系統進行自省和監控的功能模塊,藉助於 Actuator 開發者可以很方便地對應用系統某些監控指標進行查看、統計等。在 Actuator 啟用的情況下,如果沒有做好相關許可權控制,非法用戶可通過訪問默認的執行器端點(endpoints)來獲取應用系統中的監控信息。Actuator 配置不當導致應用系統監控信息泄露對應用系統及其用戶的危害是巨大的,然而關於 springboot 框架下 actuator 配置不當的漏洞利用分析文章很少,目前筆者只在先知社區看到有一篇介紹 actuator 的安全文章,於是想在這裡,分享下筆者在滲透測試過程中遇到的 actuator 配置不當的發現及利用過程,如有分析不正確的地方,還請各位大佬輕噴~
Actuator 簡介
如上所言,actuator 是 springboot 提供的用來對應用系統進行自省和監控的功能模塊。其提供的執行器端點分為兩類:原生端點和用戶自定義擴展端點,原生端點主要有:
| Http 方法 | 路徑 | 描述 |
|---|---|---|
| get | /autoconfig | 提供了一份自動配置報告,記錄哪些自動配置條件通過了,哪些沒通過 |
| get | /configprops | 描述配置屬性(包含默認值)如何注入 Bean |
| get | /beans | 描述應用程序上下文里全部的 Bean,以及它們的關係 |
| get | /dump | 獲取線程活動的快照 |
| get | /env | 獲取全部環境屬性 |
| get | /env/{name} | 根據名稱獲取特定的環境屬性值 |
| get | /health | 報告應用程序的健康指標,這些值由 HealthIndicator 的實現類提供 |
| get | /info | 獲取應用程序的定製信息,這些信息由 info 打頭的屬性提供 |
| get | /mappings | 描述全部的 URI 路徑,以及它們和控制器(包含 Actuator 端點)的映射關係 |
| get | /metrics | 報告各種應用程序度量信息,比如內存用量和 HTTP 請求計數 |
| get | /metrics/{name} | 報告指定名稱的應用程序度量值 |
| post | /shutdown | 關閉應用程序,要求 endpoints.shutdown.enabled 設置為 true(默認為 false) |
| get | /trace | 提供基本的 HTTP 請求跟蹤信息(時間戳、HTTP 頭等) |
漏洞發現
一般來說,筆者挖掘 actuator 配置不當的漏洞分如下兩步:1. 識別當前 web 應用使用的框架為 springboot 框架;2. 枚舉執行器端點路徑;下面針對這兩步結合筆者漏洞挖掘中遇到的實例具體來說說。
1. 識別當前 web 應用使用的框架為 springboot 框架。主要有兩個方法判斷:
①通過 web 應用程序網頁標籤的圖標(favicon.ico);如果 web 應用開發者沒有修改 springboot web 應用的默認圖標,那麼進入應用首頁後可以看到如下默認的綠色小圖標:
②通過 springboot 框架默認報錯頁面;如果 web 應用開發者沒有修改 springboot web 應用的默認 4xx、5xx 報錯頁面,那麼當 web 應用程序出現 4xx、5xx 錯誤時,會報錯如下(此處僅以 404 報錯頁面為例):
那麼綜合以上兩個途徑來判斷當前 web 應用是否是 springboot 框架,就是通過訪問不同的目錄,看是否有小綠葉圖標,然後就是想辦法在不同目錄下觸發應用程序的 4xx 或 5xx 錯誤,看是否有 Whitelabel Error Page 報錯。
2. 枚舉執行器端點路徑。這個其實很簡單,在確認當前 web 站點是 springboot 框架後,枚舉當前站點的所有一級、二級甚至三級目錄,然後寫腳本對每個目錄進行探測,查看目錄下是否存在 actuator 執行端點路徑即可。(本來想寫個比較通用的探測腳本的,現在只有延期了.. 寫完之後放出來)
漏洞利用
通過如上步驟,如果你發現了 actuator 的配置不當漏洞,那就要恭喜你啦。不過,儘管這些監控信息的泄露已經足夠高危了,有時候碰到一些比較嚴格的廠商,需要你證明一下這些監控信息的具體危害,或者你想要將危害等級提升到嚴重,或者想要通過這些監控信息進一步挖掘其他漏洞,該怎麼利用呢?筆者通過自身的踩坑經歷,總結了如下幾個點來儘可能最大化的利用該漏洞:
①認證欄位的獲取以證明可影響其他用戶;
這個主要通過訪問/trace 路徑獲取用戶認證欄位信息,比如如下站點存在 actuator 配置不當漏洞,在其 trace 路徑下,除了記錄有基本的 HTTP 請求信息(時間戳、HTTP 頭等),還有用戶 token、cookie 欄位:trace 路徑:
通過替換 token 欄位可獲取其他用戶的信息:
②資料庫賬戶密碼泄露;
由於 actuator 會監控站點 mysql、mangodb 之類的資料庫服務,所以通過監控信息有時可以拿下 mysql、mangodb 資料庫;這個主要通過/env 路徑獲取這些服務的配置信息,比如如下站點存在 actuator 配置不當漏洞,通過其/env 路徑,可獲得 mysql、mangodb 的用戶名及密碼:
③git 項目地址泄露;
這個一般是在/health 路徑,比如如下站點,訪問其 health 路徑可探測到站點 git 項目地址:
直接訪問 git 項目地址,可拿下源碼:
④後台用戶賬號密碼泄露;
這個一般是在/heapdump 路徑下,訪問/heapdump 路徑,返回 GZip 壓縮 hprof 堆轉儲文件。在 Android studio 打開,會泄露站點內存信息,很多時候會包含後台用戶的賬號密碼(包含漏洞的圖片暫時沒得,大家記住思路就好了..),通過泄露的賬號密碼,然後進入後台一番轟炸也不錯的。安全措施
引入 security 依賴,打開安全限制並進行身份驗證;同時設置單獨的 Actuator 管理埠並配置不對外網開放。詳情請見先知社區https://xz.aliyun.com/t/2233
參考文獻
1.https://xz.aliyun.com/t/2233
2.https://docs.spring.io/spring-boot/docs/current/reference/htmlsingle/#production-ready
3.https://blog.csdn.net/qq_20325039/article/details/79822141
*本文原創作者:T-T,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
※揭秘某遊戲公司遭DDoS勒索始末
※GOSINT:開源智能(OSINT)方面較新的一款工具
TAG:FreeBuf |