通过spring-boot漏洞获取heapdump文件,读取数据库账号密码获取数据库数据,获得服务器文件信息

Blade 未结 1 97
xiaomin
xiaomin 剑者 2025-04-28 10:28
悬赏:10

一、该问题的重现步骤是什么?

1.  /api/blade-system/actuator/

2.  /api/blade-system/actuator/heapdump

 下载该文件可以读取账号密码等敏感信息

 获取到oracle数据库的账号密码

3.


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


四、请提供详细的错误堆栈信息,这很重要。

image.png

1745807251753.png

五、若有更多详细信息,请在下面提供。

1条回答
  • 2025-04-28 11:05

    三年前就有方案提供:https://sns.bladex.cn/article-15004.html

    如果不配置nginx,你可以使用bladex4.4以后的版本,java底层进行了控制。

    0 讨论(0)
代码语言
提交回复