本文主要是介绍APP攻防-实战拿下某seseAPPSpringboot未授权HeapDump提取OSS利用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
知识点
1、APK-抓包
2、资产信息收集
3、SpringBoot-漏洞利用
4、自动化工具
5、HeapDump-分析提取
6、AccessKEY-利用后续
演示案例:
1、APK-抓包
2、资产信息收集
3、SpringBoot-漏洞利用
SpringBoot漏洞利用:
https://github.com/LandGrey/SpringBootVulExploit
Spring Boot Actuator v2 未授权访问
关键信息*号覆盖,没获取什么价值信息
Springboot actuator配置不当jolokia RCE
由于不符合漏洞利用条件,放弃
4、自动化检测工具
Actuator未授权/漏洞检测工具
https://github.com/rabbitmask/SB-Actuator
该项目检测未授权还行,RCE漏洞这块就不行了,推荐使用其他自动化工具。
工具参考地址:https://blog.csdn.net/m0_60571842/category_12407184.html
5、HeapDump-信息泄漏-帐号密码等
HeapDump分析:
heapdump_tool:https://github.com/wyzxxz/heapdump_tool
6、OSS_AccessKey利用
https://github.com/mrknow001/aliyun-accesskey-Tools
这篇关于APP攻防-实战拿下某seseAPPSpringboot未授权HeapDump提取OSS利用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!