1、通过探测这些目录是否存在(全部可能泄露的目录参考地址:https://github.com/LandGrey/SpringBootVulExploit)
xxx.com/actuator/env
xxx.com/actuator/info
xxx.com/actuator/heapdump等目录
2、提取出这些目录当中包含的一些敏感信息
3、下载heapdump文件,然后使用heapdump_tool.jar提取出heapdump泄露的密码。
工具使用命令:java -jar heapdump_tool.jar heapdump
工具下载地址:
https://github.com/wyzxxz/heapdump_tool
所需环境: jdk8、jhat.exe(需要配置环境)
一些其他的攻击tips: