0# Spring Boot概述
Spring Boot 是由Pivotal團隊提供的全新框架,其設計目的是用來簡化 Spring 應用的建立、執行、除錯、部署等。使用 Spring Boot 可以做到專注於 Spring 應用的開發,而無需過多關注 XML 的配置。Spring Boot 使用“習慣優於配置”的理念,簡單來說,它提供了一堆依賴打包,並已經按照使用習慣解決了依賴問題。使用 Spring Boot 可以不用或者只需要很少的 Spring 配置就可以讓企業專案快速執行起來。
springboot-title.png
Spring Boot 是開發者和 Spring 本身框架的中間層,幫助開發者統籌管理應用的配置,提供基於實際開發中常見配置的預設處理(即習慣優於配置),簡化應用的開發,簡化應用的運維;總的來說,其目的 Spring Boot 就是為了對 Java web 的開發進行“簡化”和加“快”速度,簡化開發過程中引入或啟動相關 Spring 功能的配置。這樣帶來的好處就是降低開發人員對於框架的關注點,可以把更多的精力放在自己的業務程式碼上。
1# Spring Boot Actuator概述
Actuator 是 Spring Boot 提供的用來對應用系統進行自省和監控的功能模組,藉助於 Actuator 開發者可以很方便地對應用系統某些監控指標進行檢視、統計等。
Actuator 的核心是端點 Endpoint,它用來監視應用程式及互動,spring-boot-actuator 中已經內建了非常多的 Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同時也允許我們自己擴充套件自己的 Endpoints。每個 Endpoint 都可以啟用和禁用。要遠端訪問 Endpoint,還必須透過 JMX 或 HTTP 進行暴露,大部分應用選擇HTTP。
Actuator 在帶來方便的同時,如果沒有管理好,會導致一些敏感的資訊洩露;可能會導致我們的伺服器,被暴露到外網,伺服器可能會淪陷。
2# Spring Boot框架的識別
2.1 透過icon圖示進行識別
Fofa語法如下:
icon_hash="116323821"
Fofa語法搜尋icon.png
可以搜尋到25萬條左右的資產資料,說明Spring Boot框架是應用廣泛哈哈~
(其中還有很多服務更改了預設的ico圖示,所以這個語法找不到)
2.2 透過網頁內容進行識別
Fofa語法如下:
body="Whitelabel Error Page"
Fofa語法搜尋body.png
哈哈,這個更誇張了,可以搜尋到141萬條左右的資產資料
以下是 Spring Boot 框架的典型特徵:
SpringBoot典型特徵.png
所以可以透過Fofa對網頁的body內容進行搜尋找到那麼多的資產
3# Spring Boot框架 敏感資訊洩露
如果對 Spring Boot 框架熟悉的師傅,肯定知道對 Spring Boot 的滲透測試過程中,肯定不會少了敏感資訊洩露和未授權訪問相關的漏洞
不同版本分類討論
Spring Boot < 1.5:預設未授權訪問所有端點、
Spring Boot >= 1.5:預設只允許訪問 /health 和 /info 端點,但是此安全性通常被應用程式開發人員禁用了
3.1 常見端點及其作用:
路徑 是否預設啟用 功能描述
/auditevents 是 顯示當前應用程式的審計事件資訊
/beans 是 顯示一個應用中所有Spring Beans的完整列表
/conditions 是 顯示配置類和自動配置類的狀態及它們被應用或未被應用的原因
/configprops 是 顯示一個所有@ConfigurationProperties的集合列表
/env 是 顯示來自Spring的 ConfigurableEnvironment的屬性
/flyway 是 顯示資料庫遷移路徑(如果存在)
/health 是 顯示應用的健康資訊(當使用一個未認證連線訪問時顯示一個簡單的’status’,使用認證連線訪問則顯示全部資訊詳情)
/info 是 顯示任意的應用資訊
/liquibase 是 展示任何Liquibase資料庫遷移路徑(如果存在)
/metrics 是 展示當前應用的metrics資訊
/mappings 是 顯示一個所有@RequestMapping路徑的集合列表
/scheduledtasks 是 顯示應用程式中的計劃任務
/sessions 否 允許從Spring會話支援的會話儲存中檢索和刪除使用者會話
/shutdown 否 允許應用以優雅的方式關閉(預設情況下不啟用)
/threaddump 是 執行一個執行緒dump
/heapdump 是 返回一個GZip壓縮的hprof堆dump檔案
/jolokia 是 透過HTTP暴露JMX beans(當Jolokia在類路徑上時,WebFlux不可用)
/logfile 是 返回日誌檔案內容(如果設定了logging.file或logging.path屬性的話),支援使用HTTP Range頭接收日誌檔案內容的部分資訊
/prometheus 是 以可以被Prometheus伺服器抓取的格式顯示metrics資訊
獨家字典
於是,我這裡獨家整理了一份資訊洩露字典(歡迎補充哈哈)
actuator
actuator/auditLog
actuator/auditevents
actuator/autoconfig
actuator/beans
actuator/caches
actuator/conditions
actuator/configurationMetadata
actuator/configprops
actuator/dump
actuator/env
actuator/events
actuator/exportRegisteredServices
actuator/features
actuator/flyway
actuator/health
actuator/heapdump
actuator/healthcheck
actuator/heapdump
actuator/httptrace
actuator/hystrix.stream
actuator/info
actuator/integrationgraph
actuator/jolokia
actuator/logfile
actuator/loggers
actuator/loggingConfig
actuator/liquibase
actuator/metrics
actuator/mappings
actuator/scheduledtasks
actuator/swagger-ui.html
actuator/prometheus
actuator/refresh
actuator/registeredServices
actuator/releaseAttributes
actuator/resolveAttributes
actuator/scheduledtasks
actuator/sessions
actuator/springWebflow
actuator/shutdown
actuator/sso
actuator/ssoSessions
actuator/statistics
actuator/status
actuator/threaddump
actuator/trace
auditevents
autoconfig
api.html
api/index.html
api/swagger-ui.html
api/v2/api-docs
api-docs
beans
caches
cloudfoundryapplication
conditions
configprops
distv2/index.html
docs
druid/index.html
druid/login.html
druid/websession.html
dubbo-provider/distv2/index.html
dump
entity/all
env
env/(name)
eureka
flyway
gateway/actuator
gateway/actuator/auditevents
gateway/actuator/beans
gateway/actuator/conditions
gateway/actuator/configprops
gateway/actuator/env
gateway/actuator/health
gateway/actuator/heapdump
gateway/actuator/httptrace
gateway/actuator/hystrix.stream
gateway/actuator/info
gateway/actuator/jolokia
gateway/actuator/logfile
gateway/actuator/loggers
gateway/actuator/mappings
gateway/actuator/metrics
gateway/actuator/scheduledtasks
gateway/actuator/swagger-ui.html
gateway/actuator/threaddump
gateway/actuator/trace
health
heapdump
heapdump.json
httptrace
hystrix
hystrix.stream
info
integrationgraph
jolokia
jolokia/list
liquibase
list
logfile
loggers
liquibase
metrics
mappings
monitor
prometheus
refresh
scheduledtasks
sessions
shutdown
spring-security-oauth-resource/swagger-ui.html
spring-security-rest/api/swagger-ui.html
static/swagger.json
sw/swagger-ui.html
swagger
swagger/codes
swagger/index.html
swagger/static/index.html
swagger/swagger-ui.html
swagger-dubbo/api-docs
swagger-ui
swagger-ui.html
swagger-ui/html
swagger-ui/index.html
system/druid/index.html
threaddump
template/swagger-ui.html
trace
user/swagger-ui.html
version
v1.1/swagger-ui.html
v1.2/swagger-ui.html
v1.3/swagger-ui.html
v1.4/swagger-ui.html
v1.5/swagger-ui.html
v1.6/swagger-ui.html
v1.7/swagger-ui.html
/v1.8/swagger-ui.html
/v1.9/swagger-ui.html
/v2.0/swagger-ui.html
v2.1/swagger-ui.html
v2.2/swagger-ui.html
v2.3/swagger-ui.html
v2/swagger.json
webpage/system/druid/index.html
%20/swagger-ui.html
3.2 端點的敏感資訊洩露樣例
這裡先安利一款谷歌瀏覽器外掛哈,名字叫 JSON Viewer ,可以美化JSON的相關頁面
JSON-Viewer.png
注意,以下測試均是在Fofa上找的例項,漏洞其實離我們並不遙遠
3.2.1 訪問/actuator
如果設定了 management.endpoints.web.exposure.include 為 *,就可以在 /actuator 看到所有存在的端點,截圖如下:
訪問actuator.png
3.2.2 訪問/actuator/version
會洩露一些相關的版本資訊
但這個目前很少有洩露了,一時半會沒找到例項
3.2.3 訪問/env或者/actuator/env
可能會洩露資料庫賬號密碼等敏感資訊
訪問actuator-env.png
針對env這種路徑下洩露的密碼會用星號進行脫敏,想要獲取相應的明文密碼,可以嘗試透過分析heapdump資料的方式
3.2.4 訪問/actuator/metrics
獲得每個度量的名稱,其中主要監控了JVM內容使用、GC情況、類載入資訊等
訪問actuator-metrics.png
如果想要得到每個度量的詳細資訊,需要傳遞度量的名稱到URL中,如下
http://xx.xx.xx.xx/actuator/metrics/http.server.requests
訪問actuator-metrics-http.server.requests.png
3.2.5 訪問/actuator/threaddump
獲取伺服器的執行緒堆疊資訊
訪問actuator-threaddump.png
3.2.6 訪問/actuator/loggers
獲取伺服器的日誌級別
訪問actuator-loggers.png
3.2.7 訪問/actuator/configprops
檢視配置檔案中設定的屬性內容,以及一些配置屬性的預設值
訪問actuator-configprops.png
3.2.8 訪問/actuator/info
展示了關於應用的一般資訊,這些資訊從編譯檔案比如 META-INF/build-info.properties 或者 git 檔案比如 git.properties 或者任何環境的 property 中獲取
3.2.9 訪問/actuator/mappings
響應資訊描述全部的URI路徑,以及它們和控制器的對映關係
訪問actuator-mappings.png
3.2.10 訪問/actuator/health
health一般只展示了簡單的UP和DOWN狀態,比如這樣:
訪問actuator-health.png
為了獲得健康檢查中所有指標的詳細資訊,就需要透過在 application.yaml 中增加如下內容:
management:
endpoint:
health:
show-details: always
一旦開啟上述開關,那麼在 /health 中可以看到詳細內容,比如下面這樣
{
"status": "UP",
"diskSpace": {
"status": "UP",
"total": 209715195904,
"free": 183253909504,
"threshold": 10485760
}
"db": {
"status": "UP",
"database": "MySQL",
"hello": 1
}
}
3.2.11 訪問/heapdump或者/actuator/heapdump
Heap Dump也叫堆轉儲檔案,是一個Java程序在某個時間點上的記憶體快照
Heap Dump是有著多種型別的,不過總體上heap dump在觸發快照的時候都儲存了java物件和類的資訊
通常在寫heap dump檔案前會觸發一次FullGC,所以heap dump檔案中儲存的是FullGC後留下的物件資訊。其中可能會含有敏感資料,如資料庫的密碼明文等
直接訪問路徑會返回一個GZip壓縮的JVM堆dump,其中是jvm heap資訊。下載的heapdump檔案大小通常在 50M—500M 之間,有時候也可能會大於 2G
訪問actuator-threaddump.png
下載完成之後可以藉助一些工具對其中的資料進行內容檢索,尋找敏感資訊
Eclipse Memory Analyzer(MAT)
heapdump_tool
JDumpSpider
都有參考文章,可以自行研究
4# SpringBoot-Scan的使用
日常滲透過程中,經常會碰到Spring Boot搭建的微服務,於是就想做一個針對Spring Boot的開源滲透框架
主要用作掃描SpringBoot的敏感資訊洩露端點,並可以直接測試Spring Boot的相關高危漏洞。
SpringBoot-Scan截圖title.png
於是,就寫了這麼一個工具:SpringBoot-Scan 【簡稱:“SB-Scan”(錯亂】
開源地址:https://github.com/AabyssZG/SpringBoot-Scan
掃描單一URL.png
感覺不錯的話,麻煩師傅點個Star啦~
有問題的話,也可以提交issues或者私聊我都行哈哈~
5# 參考連結
https://blog.csdn.net/u012206617/article/details/109010102
https://blog.csdn.net/m0_64867220/article/details/121728868
https://www.freebuf.com/vuls/289710.html