一、前言

今天的文章主要跟大家聊一下關于springboot環境下的滲透。Springboot現如今可以說是java開發的一個入門框架，深受各個公司親賴，現有java站點springboot還是有一定比例的，所以說還是有必要對springboot滲透有一定了解。

二、攻擊思路

1. 總體分析

對于springboot框架，常見的攻擊思路主要是監控端點以及swagger-ui接口的一些利用，已有的文章算是比較多了，這里給一個GitHub的地址：https://github.com/LandGrey/SpringBootVulExploit，其中對于漏洞的介紹算是比較詳細，所以在這里主要介紹一些經驗之談以及一些新東西。

2. 版本

對于springboot框架識別，大部分師傅可能已經了解，這里稍微提一下，可以根據圖中的兩個特征或者cookie中的springboot標識等確定目標站點是否為springboot。

springboot大版本可以分為1.x和2.x，通過暴露的監控端點可以區分其版本。1.x版本在監控端點未授權的情況下，默認是監控端點是全部打開的，而在2.x版本，可能是官方為了安全著想，默認僅開啟了幾個無傷大雅的端點。

下圖為Springboot 1.x啟動時開啟的監控端點

下圖為Springboot 2.x啟動時開啟的監控端點

只有當Endpoint. Shutdown. enabled屬性設置為true時才會暴露出其他敏感端點

3. env端點攻擊

env端點是在滲透時候比較重要的一個端點，一些歷史rce漏洞基本都需要依賴該端點post數據給服務器，并且改端點還會暴露系統一些比較敏感的信息。

3.1獲取脫敏敏感信息

該端點對敏感信息會進行脫敏處理，對于獲取脫敏敏感信息，主要分為遠程請求vps和heapdump內存中查找。我建議從內存中查找，這樣可以避免vps地址暴露。其次敏感信息不局限于數據庫密碼等，還有可能存在郵箱賬號，企業微信apikey，微信小程序apikey等，這些都是在項目中確切獲取到過的。

如下為某企業微信apikey，微信有公開的api文檔，通過這些可以獲取目標大量人員信息，甚至是加入到目標的企業微信中。

如下為某小程序微信apikey，使用官方api查看該小程序存在大量用戶，擁有該小程序的某些控制權限危害還是比較大的。

對于獲取到的數據庫連接信息都是內網的，不要認為沒有用處，密碼和端口還是有一定作用，對于非隨機的密碼，可以在目標所屬ip段進行碰撞或者組合密碼規則獲取數據庫權限也是有可能的，在《記一次hw打點》文章中也確實獲取了外網redis的權限。微信apikey、郵箱賬號等權限都是重要信息，可以更加貼近目標，對于接下來的攻擊做鋪墊。

3.2 env端點下的rce

歷史rce在github項目中已經提及七七八八，各位師傅可以下載項目中的靶場環境進行復現，需要注意的一點就是1.x和2.x中提交數據時的Content-Type分別為application/x-www-form-urlencoded和application/json，否則會提交數據失敗。

4. httptrace端點

httptrace端點可以獲取當前web訪問的請求信息，可能找到未銷毀的管理員cookie信息，在這里建議判斷到一個web為springboot開發時候不要掃描目錄，別問我是怎么知道的（/(ㄒoㄒ)/~~，因為這個端點的記錄是有上限的，有一次掃描目錄后發現所有的記錄都是我掃描的記錄，可能把有些有用的東西給覆蓋了）。