Spring Boot Actuator未授权访问漏洞利用

痛定思痛。 2023-10-06 19:03 4阅读 0赞

#### 目录 ####

*   *  一、前言
     *  二、端点描述
     *  三、漏洞发现
     *  四、漏洞利用
     *  五、安全措施
     *  六、安全建议

### 一、前言 ###

Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时，它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置，就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。

### 二、端点描述 ###

官方文档对每个端点的功能进行了描述。

<table> 
 <thead> 
  <tr> 
   <th>路径</th> 
   <th>描述</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>/autoconfig</td> 
   <td>提供了一份自动配置报告，记录哪些自动配置条件通过了，哪些没通过</td> 
  </tr> 
  <tr> 
   <td>/beans</td> 
   <td>描述应用程序上下文里全部的Bean，以及它们的关系</td> 
  </tr> 
  <tr> 
   <td>/env</td> 
   <td>获取全部环境属性</td> 
  </tr> 
  <tr> 
   <td>/configprops</td> 
   <td>描述配置属性(包含默认值)如何注入Bean</td> 
  </tr> 
  <tr> 
   <td>/dump</td> 
   <td>获取线程活动的快照</td> 
  </tr> 
  <tr> 
   <td>/health</td> 
   <td>报告应用程序的健康指标，这些值由HealthIndicator的实现类提供</td> 
  </tr> 
  <tr> 
   <td>/info</td> 
   <td>获取应用程序的定制信息，这些信息由info打头的属性提供</td> 
  </tr> 
  <tr> 
   <td>/mappings</td> 
   <td>描述全部的URI路径，以及它们和控制器(包含Actuator端点)的映射关系</td> 
  </tr> 
  <tr> 
   <td>/metrics</td> 
   <td>报告各种应用程序度量信息，比如内存用量和HTTP请求计数</td> 
  </tr> 
  <tr> 
   <td>/shutdown</td> 
   <td>关闭应用程序，要求endpoints.shutdown.enabled设置为true</td> 
  </tr> 
  <tr> 
   <td>/trace</td> 
   <td>提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)</td> 
  </tr> 
 </tbody> 
</table>

Spring Boot 1.x版本端点在根URL下注册  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70]  
Spring Boot 2.x版本端点移动到/actuator/路径  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 1]

### 三、漏洞发现 ###

通常通过两个位置判断网站是否使用了Spring Boot框架。  
1、网站图片文件是一个绿色的树叶。  
2、特有的报错信息。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 2]

**影响版本**  
Spring Boot < 1.5 默认未授权访问所有端点  
Spring Boot >= 1.5 默认只允许访问/health和/info端点，但是此安全性通常被应用程序开发人员禁用。

### 四、漏洞利用 ###

访问/trace端点获取到近期服务器收到的请求信息。如果存在登录用户的操作请求，可以伪造cookie进行登录  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 3]  
这里暴露出redis的地址和端口，连接一下redis，redis存在未授权访问漏洞，可以查看redis的数据。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 4]

### 五、安全措施 ###

如果请求接口不做任何安全限制，安全隐患显而易见。实际上Spring Boot也提供了安全限制功能。比如要禁用/env接口，则可设置如下：

endpoints.env.enabled= false

如果只想打开一两个接口，那就先禁用全部接口，然后启用需要的接口：

endpoints.enabled = false
    endpoints.metrics.enabled = true

另外也可以引入spring-boot-starter-security依赖

<dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-security</artifactId>
            </dependency>

在application.properties中指定actuator的端口以及开启security功能，配置访问权限验证，这时再访问actuator功能时就会弹出登录窗口，需要输入账号密码验证后才允许访问。

management.port=8099
    management.security.enabled=true
    security.user.name=admin
    security.user.password=admin

### 六、安全建议 ###

在使用Actuator时，不正确的使用或者一些不经意的疏忽，就会造成严重的信息泄露等安全隐患。在代码审计时如果是springboot项目并且遇到actuator依赖，则有必要对安全依赖及配置进行复查。也可作为一条规则添加到黑盒扫描器中进一步把控。  
安全的做法是一定要引入security依赖，打开安全限制并进行身份验证。同时设置单独的Actuator管理端口并配置不对外网开放。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/6fc2c01444954961b0243bad160b1263.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/bbac2310bae54a428a3f69b15c10dbce.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/d922d5c39174420eacdbcc4a0a601b5d.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/2fa4a80313ac4c6fb408964dd0c0c92a.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/7465d59406da49979b7226b73b9e26b9.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1bzE1ODkwMDI1MDE5,size_16,color_FFFFFF,t_70