堆转储文件泄露

最近在进行渗透测试项目的时候遇到了一个Actuator配置不当的场景，通过其提供的执行器端点获取到了heapdump堆转储文件，经过简单分析后获得了JDBC明文密码等敏感信息。

Actuator配置不当

Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，如自动化配置信息、创建的Spring Beans信息、系统环境变量的配置信以及Web请求的详细信息等。

一开始通过浏览器访问目标站点，发现网站Icon是一个小绿叶，初步猜测网站使用了Spring Boot框架。然后进行执行器端点路径的枚举，得到以下相关路径：

/actuator/env      # 提供对配置环境的访问
/actuator/beans    # 描述应用程序上下文里全部的Bean
/actuator/health   # 报告应用程序的健康指标
/actuator/info     # 获取应用程序的定制信息
/actuator/trace    # 显示最后几条HTTP消息
/actuator/logfile  # 输出日志文件的内容
/actuator/heapdump # 堆转储文件
...

Heapdump堆转储文件

Heapdump，即堆转储文件，是一个Java进程在某个时间点上的内存快照。HeapDump记录了JVM中堆内存运行的情况，保存了Java对象、类以及线程栈以及本地变量等信息。

• 先通过浏览器访问对应路径将heapdump文件进行下载

Spring-Heapdump-1

• 然后使用使用JDK自带工具JVisualVM工具对其进行分析，该工具在<JDK_HOME>/bin/目录下。
  • JVisualVM是一个监视，故障排除工具
  • 也可以使用Eclipse MAT对其进行分析
    • 参考：Java内存泄漏分析系列之六：JVM Heap Dump（堆转储文件）的生成和MAT的使用

Spring-Heapdump-2

• 其实通过JVisualVM加载heapdump文件时，已经可以看到部分敏感信息泄露

Spring-Heapdump-3

• 打开后进入ODL控制台，输入如下语句，点击执行进行查询

select s.value.toString() from java.util.Hashtable$Entry s where /password/.test(s.key.toString())

Spring-Heapdump-4

• 也可以点击"类"，搜索Hashtable，然后点击进入第一个java.util.Hashtable$Entry

Spring-Heapdump-5

• 通过对左侧实例进行观察，这里发现了JDBC明文密码以及路径

Spring-Heapdump-6

Spring-Heapdump-7

• 打完收工，整理报告，提交审核。

参考

• Springboot之actuator配置不当的漏洞利用
• Java内存泄漏分析系列之六：JVM Heap Dump（堆转储文件）的生成和MAT的使用
• Springboot 获取被星号脱敏的密码的明文の方法四-测试