记一次heapdump泄漏获取服务器权限
创始人
2025-01-17 22:03:12
0

文章目录

      • 一、漏洞原因
      • 二、漏洞利用
      • 三、漏洞进一步利用
        • 1、工具下载
        • 2、通过关键字查询
        • 3、通过配置redis的默认账号和密码进行登录
        • 4、添加定时计划任务,进行反弹shell
        • 5、成功获取服务器的shell
        • 补充
      • 四、总结
      • 五、免责声明

一、漏洞原因

  • 扫描目录发现某个spring框架存在大量泄露信息的路径,访问ip/heapdump可直接下载内存文件;
  • 通过分析heapdump获取redis数据库权限
  • 利用定时任务,进行反弹shell获取服务器权限

二、漏洞利用

1、通过目录扫描发现heapdump文件

2、进行访问,下载在这里插入图片描述
3、解压文件后,得到hprof的文件
在这里插入图片描述

三、漏洞进一步利用

工具利用:

https://github.com/whwlsfb/JDumpSpider
1、工具下载
https://github.com/wyzxxz/heapdump_tool

在这里插入图片描述

2、通过关键字查询
java -jar heapdump_tool.jar  heapdump

打开文件,然后输入1,表示通过关键字进行查询

上一篇:使用rsync同步服务器目录及文件遇到的问题

下一篇:群晖网络UPS服务器-PVE All In One使用UPS

相关内容

热门资讯

辅助透视!aapoker脚本怎... 辅助透视!aapoker脚本怎么用,aapoker怎么控制牌,黑科技教程(有挂脚本)1)aapoke...
透视玄学!wepoker私人局... 透视玄学!wepoker私人局辅助挂(透视)都是是有挂(黑科技教程);1、下载好wepoker私人局...
免费广东雀神智能插件安装,微信... 免费广东雀神智能插件安装,微信小程序辅助工具,财神十三章怎样加强运气工具1、微信小程序辅助工具透视辅...
透视软件!aapoker透视脚... 透视软件!aapoker透视脚本入口,aapoker发牌逻辑,必胜教程(有挂工具)1、构建自己的aa...
透视安装!wepoker作弊视... 透视安装!wepoker作弊视频(透视)果然有挂(可靠技巧)1、进入游戏-大厅左侧-新手福利-激活码...
广东雀神智能插件安装价格,中至... 广东雀神智能插件安装价格,中至江西插件,爱来掌中宝辅助器插件;1、金币登录送、破产送、升级送、活动送...
透视透视!aapoker能控制... 透视透视!aapoker能控制牌吗,aapoker辅助怎么用,2025版教程(有挂解说);1、用户打...
透视辅助!aapoker怎么拿... 透视辅助!aapoker怎么拿好牌,aapoker免费透视脚本,存在挂教程(有挂黑科技);1、透视辅...
小程序广东雀神智能插件免费,开... 小程序广东雀神智能插件免费,开心泉州小程序辅助免费下载,白金岛手游的作弊码细节1、小程序广东雀神智能...
透视数据!wepoker怎么买... 透视数据!wepoker怎么买辅助(透视)一直真的是有挂(玩家教程)1、每一步都需要思考,不同水平的...