Spring Boot Actuator 未授权的测试与利用思路

最近遇到的一个漏洞，但是因为目标关掉了一些端点导致没利用起来达到RCE的效果，不过在提升漏洞危害的时候，参考了不少文章，也做了一些尝试，所以分享出来自己的经历，希望大家如果遇到跟我一样的情况，可以省下自己调试时间，来做更有意义的事情。

0x1 Actuator 简介

官方简介: Spring Boot Actuator: Production-ready Features

Spring Boot includes a number of additional features to help you monitor and manage your application when you push it to production. You can choose to manage and monitor your application by using HTTP endpoints or with JMX. Auditing, health, and metrics gathering can also be automatically applied to your application.

Actutator是一个生产环境部署时可使用的功能，用来监控和管理应用程序。支持选择HTTP Endpoints 或者JMX的方式来访问，同样支持查看应用程序的Auding,health和metrics信息。

0x2 部署环境

一般快速部署环境，我很喜欢参考官方的Spring Quickstart Guide,官方文档一般都很简洁，也是从新手角度写的的tutorial，故理解和实践起来非常简单。

快速开始没有Spring Boot 1.x的，所以1.x的版本我用Idea直接修改Maven的依赖来创建。

正如官方在2019.8.06所言,v1.5.22.RELEASE 是Spring Boot 1.x的最后一个版本。

SpringBoot 2.0 发布时间则是2018.3.1,现在已经是2.6版本

故1.x版本从历史线上来说，是有可能出现在真实环境的，只不过暂时没遇到，所以纳入本文研究范围。