Springboot配置actuator漏洞利用

0x01前言

最近測試遇見一個/actuator/接口未授權訪問,最后拿下服務器權限。

0x02外帶明文

訪問/actuator/這個接口,可以看到大量接口,里面有各種信息。

image.png

訪問/actuator/env,可以看到大量的敏感信息,如mysql安裝路徑等等,其中有脫敏之后的password。
image.png

嘗試通過這個網(wǎng)站外帶明文https://github.com/LandGrey/SpringBootVulExploit
幾個方法都嘗試了,內(nèi)容也寫進去了,但是沒有明文返回,GG。這個里面有很多RCE的方法,不過都需要各種依賴。

0x03任意文件下載

在這個接口中/actuator/httptrace/,看到了大量鏈接,有很多身份證照片的鏈接,其中有一個下載鏈接,通過../跳轉目錄可以下載任意文件,通過讀取nginx.conf得到web絕對路徑???但是路徑下全是靜態(tài)文件,html和js啥的。就這???

0x04heapdump

在/actuator/heapdump接口下載heapdump,通過VisualVM加載,查看到后臺賬號信息和數(shù)據(jù)庫賬號信息


image.png

查詢語句如:

select s from java.lang.String s 
    where /pass/.test(s.value.toString())

并且3306開放在互聯(lián)網(wǎng),連接上去,拿下數(shù)據(jù)庫。登錄到后臺找了上傳點,能傳上去,文件也能跳轉到任意目錄,但是傳到開始的index.html路徑下,訪問不解析。傳到upload目錄也不解析,砸桌子!嘗試N久,放棄上傳shell。

0x05反彈shell

回到連上去的mysql數(shù)據(jù)庫,加上可以上次文件到任意目錄,udf來一發(fā)。成功創(chuàng)建sys_eval函數(shù),直接彈cs上線,window下生成powershell,執(zhí)行,啪,sql語句異常。應該是各種括號和單引號導致的,base64編碼一下,執(zhí)行,但是沒上線???。本機嘗試base64編碼之前能上線,編碼之后報錯。


image.png

直接msf反彈,使用web_delivery模塊,上線。

0x06swagger-ui.html

通常情況下可以看下是否存在swagger-ui.html這個頁面,可以通過接口未授權查詢登錄的賬號密碼等信息,然后進一步利用。

最后編輯于
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

友情鏈接更多精彩內(nèi)容