Actuator 是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请...
Springboot未授权之httptrace和logfile的实战利用
S声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x00...
记一次微信小程序渗透用1分钱充值100元
一次很逆天的小程序渗透过程,给开发老哥加鸡腿! 任意用户登录 首先是用户登录页面 手机号一键登录,抓包 发现请求中泄露了sessionKey。 sessionKey是微信服务器给开发者服务器颁发的身份...
Spring Boot 信息泄露总结
点击蓝字,关注我们1. 目标1. 微信sessionkey泄露导致任意用户登录点击快捷登录,发现可以使用手机号进行登录,发现sessionkey,使用工具利用没有账号,尝试13111111111(一般...
Spring漏洞综合利用工具
Spring_All_Reachable TODO Spring Core RCE 支持更多类型内存马 支持内存马密码修改 ........ 使用方法 Spring Cloud Gateway命令执行...
记一次供应链的heapdump泄露到云接管
扫码领资料获网安教程本文由掌控安全学院 -杳若 投稿打点开局一张图分析框架分析首先发现使用的是前端的vue框架注意/#/,存在的话基本都是vue,这时候就要从找接口开始浅试登录任意输入账号密码点击登...
实战案例 | 利用SpringBoot相关RCE漏洞拿下某数字化平台系统
前言 在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候,试了几个报错,发...
spring-gateway打内存马
spring-gateway打内存马方法POST /actuator/gateway/routes/new_route HTTP/1.1Host: 127.0.0.1:9000Connection: ...
记一次鼠标猴事件之我真是一只会点鼠标得猴子
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。众亦信安,中意你啊!点不了吃亏,点不了上当,设置星标,方能无恙!背景: ...
实战案例:记一次利用SpringBoot相关RCE漏洞拿下某数字化平台系统
扫码领资料获网安教程前言在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候...
记一次bc站实战
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
内网环境-actuator漏洞排查与利用
扫码领资料获网安教程免费&进群本文由掌控...