【工具分享】一款HeapDump敏感信息提取工具

最新推荐文章于 2026-04-27 09:42:34 发布
原创 最新推荐文章于 2026-04-27 09:42:34 发布 · 6.2k 阅读 · 29
标签
#linux #网络 #网络安全 #运维 #信息提取
本文介绍了如何在渗透测试中利用JDumpSpider工具分析heapdump文件,查找Springactuator泄露的敏感信息,如数据库凭证。同时,文章还关注了网络安全人才供需情况,指出计算机专业,尤其是网络安全专业的就业前景良好。

工具介绍

在日常的渗透测试工作中,常遇到spring actuator未授权漏洞,而在实战中利用价值最大的是可下载的heapdump文件。

HeapDump也叫堆转储文件,是一个Java进程在某个时间点上的内存快照,主要保存了java对象和类的信息。

我们可以通过Heap Dump做哪些事情?

一般在渗透测试中我们会通过工具对泄露的heapdump文件进行分析,查询加载到内存中的密码和密钥信息,比如redis密码,mysql数据库账号和密码等信息。

编译方法

需要Maven、JDK 1.8。

首先需要将netbeans-lib-profiler导入本地maven仓库

$ cd lib/``$ mvn install:install-file -Dfile=netbeans-lib-profiler.jar -DgroupId=netbeans -DartifactId=netbeans-lib-profiler -Dversion=1.0 -Dpackaging=jar

导入完成后切换至项目根目录,运行编译打包命令

$ mvn package

→点击获取网络安全资料·攻略←

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

支持范围

暂支持提取以下类型的敏感信息

  • 数据源

  • SpringDataSourceProperties

  • WeblogicDataSourceConnectionPoolConfig

  • MongoClient

  • AliDruidDataSourceWrapper

  • HikariDataSource

最低0.47元/天 解锁文章
heapdump分析工具
04-23
通过heapdump工具分析服务器堆分配问题
heapdump分析工具HeapAnalyzer
02-10
heapdump分析工具------HeapAnalyzer: 2014年1月最新发布 用法: 在命令行执行 java -Xmx500m -jar ha453.jar
java heapdump 分析工具_heapdump分析工具
weixin_26848497的博客
02-24 4392
heapdump分析工具一款强大的数据分析工具,它可以用图表的形式来展现相应的分析结果,在使用heapdump分析工具之前请先安装JDK1.6。运行环境1.运行环境要求JDK 1.6或以上如果JDK版本过低,报错如下:Exception in thread "main" java.lang.NoClassDefFoundError: java/util/regex/PatternSyntaxEx...
Heapdump分析进阶:除了找密码,heapdump_tool的这些隐藏功能帮你发现更多安全隐患
weixin_42539414的博客
04-24 176
本文深入探讨heapdump_tool的高级安全审计功能,揭示如何通过class模糊匹配、系统属性分析和结构化数据挖掘等技术,发现比密码泄露更危险的安全隐患。从内网Redis配置到未授权API端点,这些隐藏功能能帮助安全研究员进行更全面的内存取证分析
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 4334
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
heapdump 使用简述
djp304的博客
07-14 1万+
heapdump 分析
heapdump敏感信息提取工具-JDumpSpider(一)
SuperherRo的博客
08-11 1万+
在日常得渗透测试工作中,经常遇到spring actuator未授权漏洞,而且在实际过程中也常常会下载到heapdump这个文件。了解过这个文件的人知道,Heap Dump也叫堆转储文件,是一个Java进程在某个时间点上的内存快照。Heap Dump是有着多种类型的。不过总体上heap dump在触发快照的时候都保存了java对象和类的信息。通常在写heap dump文件前会触发一次FullGC,所以heap dump文件中保存的是FullGC后留下的对象信息。
手把手教你用JDumpSpider分析heapdump文件:从安装到提取AK/SK全流程
weixin_29018815的博客
03-25 146
本文详细介绍了如何使用JDumpSpider工具分析heapdump文件,从环境准备、工具安装到提取敏感信息如AK/SK的全流程。通过命令行操作,开发者可以快速定位Java应用中的敏感数据,提升内存安全审计效率。文章还提供了处理大型dump文件的技巧和最佳安全实践,适合开发者和安全工程师参考。
实战复盘:我是如何从一个泄露的Spring Heapdump文件里,挖出数据库密码和Shiro密钥的
最新发布
weixin_27722377的博客
04-27 243
本文详细介绍了如何从一个泄露的Spring Heapdump文件提取敏感信息,包括数据库密码和Shiro密钥的实战过程。通过使用heapdump_tool工具,作者展示了从发现、下载到分析heapdump文件的完整步骤,并提供了防护建议,帮助开发者避免类似安全风险。
实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露
2301_80127209的博客
01-17 2786
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。通过指纹识别出该站是springboot开发,扫描目录查看是否存在泄露。很多接口,不可能一个一个手动测试吧,上工具:swagger-hack。工具扫描完会生成文档,查看文档,是否有返回敏感内容。开局还是先测一下登录框,弱密码走一波,无果。帮助你在面试中脱颖而出。
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 7631
【渗透思路】框架敏感信息泄露
性能优化-内存分析工具的使用(整理)
weixin_30367945的博客
04-06 1323
前文讲到了内存泄漏的原因,那么要怎么定位内存泄漏呢?这里列出了常用的分析工具及其使用方法 以下Heap Snapshot、MAT、Heap Viewer、Allaction Tracking、LeakCanary和TraceView资料均来源于网络 Heap Snapshot 获取Java堆内存详细信息,可以分析出内存泄漏的问题 在2.X版本中,An...
JVM学习(三)---heapDump导出与案例分析
danns888的专栏
12-22 5454
在故障定位(尤其是out of memory)和性能分析的时候,经常会用到一些文件来帮助我们排除代码问题。这些文件记录了JVM运行期间的内存占用、线程执行等情况,这就是我们常说的dump文件。常用的有heap dump和thread dump(也叫javacore,或java dump)。我们可以这么理解:heap dump记录内存信息的,thread dump是记录CPU信息的。 heap dump: heap dump文件是一个二进制文件,它保存了某一时刻JVM堆中对...
JVM heap dump生成及分析
三侠剑的博客
09-29 1万+
一、heapdump文件介绍 heap dump: heap dump文件是一个二进制文件,它保存了某一时刻JVM堆中对象使用情况。HeapDump文件是指定时刻的Java堆栈的快照,是一种镜像文件。 产生heap dump(内存溢出)错误原因一般出于以下原因: 1)JVM内存过小, 2)程序不严密, 3)产生过多的垃圾无法回收。 二、heapdump文件如何生成? 2.1)使用 jmap 命令生成: jmap 命令是JDK提供的用于生成堆内存信息的工具,切换到JDK_HOME...
heapdump 攻击面利用
qq_50854662的博客
04-28 3277
heapdump 攻击面利用
【Eclipse Memory Analyzer】java heap dump文件分析示例
搬砖工
12-15 9269
使用工具Eclipse Memory Analyzer 进行java heap dump文件分析的示例。
【Java可执行命令】(十九)堆转储文件分析工具 jhat:将Java堆转储文件加载到内存,并在浏览器中提供一个交互式界面进行信息浏览及分析 ~
Technology changes the world of life
08-08 3687
jhat命令是Java开发工具包(JDK)中的一个强大工具,用于分析和调试Java应用程序的内存问题。通过加载Java堆转储文件,jhat提供了一个交互式的可视化界面,帮助开发人员浏览对象图、查找内存泄漏和分析内存使用情况。尽管jhat在处理大型堆转储文件时可能会占用较多内存,但它仍然是一个强大而有用的工具,适合于解决各种与内存相关的问题。
Java-heap dump 文件分析
qq_43406318的博客
07-06 2546
Java-heap 分析,内存优化,代码优化
Java Heap dump文件分析工具jhat简介
热门推荐
铁锚的CSDN博客
11-24 5万+
jhat 是Java堆分析工具(Java heap Analyzes Tool). 在JDK6u7之后成为标配. 使用该命令需要有一定的Java开发经验. jhat 命令解析Java堆转储文件,并启动一个 web server. 然后用浏览器来查看/浏览 dump 出来的 heap. jhat 命令支持预先设计的查询, 比如显示某个类的所有实例. 还支持 对象查询语言(OQL, Object Query Language)。 OQL有点类似SQL,专门用来查询堆转储。 OQL相关的帮助信息可以在 jhat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值