SpringBoot Actuator漏洞利用：通过Heapdump文件接管云主机

1. 漏洞背景

Spring Boot Actuator是Spring Boot提供的生产级功能，用于监控和管理应用程序。当配置不当时，攻击者可以利用这些端点获取敏感信息，甚至接管服务器。

2. 漏洞发现

2.1 扫描目标

使用工具httpx批量扫描以下端点：

• /env
• /actuator/env

这些端点可能暴露应用程序的环境变量和配置信息。

2.2 常见暴露端点

• /actuator/heapdump - 获取堆转储文件
• /actuator/env - 环境变量信息
• /api/actuator/ - 常见的Actuator端点路径

3. 漏洞利用过程

案例一：直接获取高权限密钥

1. 访问 aaa.edu.cn/api/actuator/ 发现heapdump文件路径
2. 下载heapdump文件
3. 使用工具JDumpSpider-1.0-SNAPSHOT-full分析heapdump文件
4. 从heapdump中提取云服务密钥
5. 使用cf工具创建后门，成功接管云主机

案例二：低权限密钥的利用

1. 访问 https://test2/actuator/ 发现heapdump文件路径
2. 下载并分析heapdump文件
3. 发现阿里云主机密钥但权限较低
4. 使用行云管家工具填入密钥获取主机访问权限
5. 发现主机上数据已被迁移，磁盘快照也被删除

案例三：env端点利用尝试

1. 访问 test2.com.cn/env 发现env路径
2. 尝试env脱敏但未成功
3. 尝试反弹shell：
   • 传送VPS地址成功
   • 反弹时失败，可能原因：
     • 防火墙拦截
     • 反弹姿势不正确

4. 关键工具与技术

4.1 分析工具

• JDumpSpider：用于快速分析heapdump文件并提取敏感信息
  • 版本：1.0-SNAPSHOT-full
  • 功能：可以快速定位密钥等敏感数据

4.2 云服务利用工具

• cf工具：用于创建后门和接管云主机
• 行云管家：当直接利用失败时，可作为替代方案获取主机权限

5. 防御建议

1. 限制Actuator端点访问：

   • 仅允许内部网络访问
   • 配置认证机制

2. 敏感信息保护：

   • 避免在环境变量中存储敏感信息
   • 对heapdump文件进行访问控制

3. 监控与日志：

   • 监控对Actuator端点的异常访问
   • 记录所有敏感操作

4. 密钥管理：

   • 使用最小权限原则分配云服务密钥
   • 定期轮换密钥

6. 经验总结

1. 批量扫描是发现此类漏洞的有效方法
2. Heapdump文件可能包含高权限密钥，是攻击的重要突破口
3. 即使获取低权限密钥，也可能通过其他工具(如行云管家)进一步利用
4. 生产环境中应严格保护Actuator端点，避免信息泄露

7. 后续研究方向

1. 更高效的heapdump分析技术
2. 针对不同云服务提供商的密钥利用方法
3. 绕过防火墙反弹shell的技术
4. 自动化利用工具的开发

通过以上分析，我们可以看到Spring Boot Actuator配置不当可能导致严重的安全问题。开发者和运维人员应当重视这些端点的安全配置，避免给攻击者可乘之机。