Spring Boot Actuator 漏洞利用

---

前言

spring对应两个版本，分别是Spring Boot 2.x和Spring Boot 1.x，因此后面漏洞利用的payload也会有所不同

敏感信息泄露

env 泄露配置信息

2.x版本
http://127.0.0.1:8100/actuator/env
1.x版本
http://127.0.0.1:8200/env

这个端点会泄露Spring 的 ConfigurableEnvironment 公开属性，其中包括系统版本，环境变量信息、内网地址等信息，但是一些敏感信息会被关键词匹配，做隐藏*处理，但是如果开发的密码字段不规范，可能直接导致泄露数据库密码。

trace 泄露用户请求信息

2.x版本
http://127.0.0.1:8100/actuator/trace
1.x版本
http://127.0.0.1:8200/trace
其他版本：
http://127.0.0.1:8200/httptrace
http://127.0.0.1:8200/actuator/httptrace

通过这个我们可以获取到请求这个站点时的完整的http包，其中就可能包括正常用户的session，从而我们可以直接接管登录，如果遇到管理员的会话，那么危害就可能进一步扩大。

mappings 泄露路由信息

2.x版本
http://127.0.0.1:8100/actuator/mappings
1.x版本
http://127.0.0.1:8200/mappings

heapdump泄露堆栈信息

2.x版本
http://127.0.0.1:8100/heapdump
1.x版本
http://127.0.0.1:8200/actuator/heapdump

这个在Spring MVC架构中是可用的，会泄露出推栈信息，其中是可以窃取到一些关键的信息，比如一些关键的Key，或者数据库连接密码，但是扫描工具没把它列为扫描端点。
下载下来的heapdump可以结合工具JDumpSpider获取一些信息

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump