heapdump | CN-SEC 中文网

安全文章

渗透思路 | js泄露用的好，洞洞少不了

js泄露用的好，洞洞少不了前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。需要2025hvv情报群私聊我拉，需要加交流群在最下...

06月27日14 views已关闭评论

阅读全文

安全工具

HeapDump敏感信息图形化提取工具

简介JDumpSpiderGUI 是一个用于 Java 堆转储文件分析的工具，支持命令行和 JavaFX 图形界面两种模式。命令行模式：适合批量或自动化分析。GUI模式：基于 JavaFX，支持多项分...

06月26日23 views评论

阅读全文

安全文章

【Web安全】heapdump实战利用案例

背景近期在进行spring actuator的漏洞排查专项，所以对当下的spring actuator进行排查的案例以及对排查方案与经验进行分享总结。环境准备1. burp2. Route Vulne...

06月18日14 views评论

阅读全文

安全文章

实战干货 | 如何通过Springboot端点未授权访问nacos以及获取后台权限

0x01 Springboot端点未授权访问发现acutator/env：获取heapdump：发现spring cloud gateway： 0x02 访问nacos 看到内网存在nacos，...

06月11日20 views评论

阅读全文

安全文章

记某次众测捡洞的时光

0x01 概述嗨嗨嗨，我又来了。。。 0x02 正文依旧是鹰图打天下，测绘走一走、活到九十九翻到了个站，看域名是wx.xxxx的形式，猜想应该是个微信公众号或者小程序的界面长这样，看到登录口，...

06月07日15 views已关闭评论

阅读全文

安全文章

bladex框架的一次渗透测试

声明本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。前言最近做一些渗透测试，很多单位的系统都是...

05月30日27 views评论

阅读全文

安全文章

针对Spring-Boot漏洞框架的渗透测试

0x1 Spring-Boot漏洞框架信息收集一、通过icon图标进行识别可以直接利用icon图标，可以直接找一个这样的网站，然后利用FOFA检索可以搜索到八十万条左右的资产数据，...

04月29日22 views评论

阅读全文

安全文章

Spring Actuator 暴露在攻防中的利用

点击蓝字关注我们Spring Actuator暴露在攻防中的利用目前企业中，JAVA仍是主流的系统开发语言，spring框架非常普遍且常用，常见与之结合使用的有nacos、rabbitMQ、redi...

04月24日39 views评论

阅读全文

安全文章

从springboot未授权访问到接管百万级数据库

本文由掌控安全学院 - 我会发着呆投稿前言本篇文章主要内容是某大学站点存在springboot actuator 未授权访问，通过后续利用接管百万级数据库。声明：本篇文章漏洞目前...

04月15日46 views评论

阅读全文

安全文章

heapdump未经授权漏洞利用

在实际渗透过程中碰到api泄露以及类似若以cms监控等，可以对heapdump文件进行导出，通过分析，可以获取一些敏感信息，通过利用泄露的敏感信息可以获取一些有用的资料，有的甚至可以直接获取服...

04月14日54 views评论

阅读全文

安全文章

spring heapdump信息泄露

前言actuator如果没有做好访问控制，那么我们可以下载headdump文件，这个文件中包含了大量的敏感信息，接下来就来看看如何进行利用。通常在/env目录下，可以看到存在passwd字段，但都做了...

04月09日26 views评论

阅读全文

SpringBoot框架挖掘：从 actuator 到内网横向

🧨 Spring Boot 框架漏洞挖掘案例：从 actuator 到内网横向🕵️‍♂️ 一、目标环境探测🎯 目标信息（简化）系统：Spring Boot Web 应用（版本 2.3.1）端口：808...

04月09日安全文章37 views评论

阅读全文

在线咨询

微信