如何獲取 Spring heapdump中的明文密碼

2022-07-19 14:02:59

01、jvisualvm分析

jvisualvm是jdk自帶視覺化java監控工具，在cmd命令列直接輸入jvisualvm就可以執行這款工具。

（1）通過jvisualvm載入heapdump檔案

（2）切換到OQL控制檯標籤，Springboot heapdump端點存在版本差異，構建OQL語句進行關鍵字查詢，從而獲取明文密碼。

Spring boot 1.x版本：select s.value.toString() from java.util.Hashtable$Entry s where /password/.test(s.key.toString())
Spring boot 2.x版本：select s.value.toString() from java.util.LinkedHashMap$Entry s where /password/.test(s.key.toString())

02、jhat命令分析

jhat 是jdk自帶的用於分析JVM heapdump檔案的工具。

（1）使用jhat命令分析heapdump檔案，啟動一個埠為7000的http服務。備註：jhat 後面可設定jvm引數，避免heapdump檔案佔用過大記憶體。

（2）存取http服務，搜尋鍵碼進入依次檢視物件，獲取到redis資料物件。

（3）點選password，從而獲取到redis物件的明文密碼。

03、heapdump_tool 敏感資訊查詢工具

本質上是基於jhat，通過通過jhat解析heapdump檔案，從而實現heapdump敏感資訊搜尋。

下載地址：

https://toolaffix.oss-cn-beijing.aliyuncs.com/heapdump_tool.jar

利用自動化工具，快速搜尋查詢密碼明文，AK-SK等。

04、Eclipse Memory Analyzer（MAT）

Eclipse Memory Analyzer（簡稱MAT）是一個功能豐富且操作簡單的JVM Heap Dump分析工具，可以用來查詢 spring heapdump中的密碼明文。

下載地址：

https://www.eclipse.org/mat/downloads.php

（1）使用 MAT直接開啟下載的 heapdump 檔案，點選 OQL 標籤，構建語句進行關鍵字查詢。

Spring boot 1.x版本：select  from java.util.Hashtable$Entry x WHERE (toString(x.key).contains(「password」))
Spring boot 2.x版本：select  from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains(「password」))

（2）在 java.util.LinkedHashMap$Entry 範例的鍵值對中，找到明文密碼。

到此這篇關於如何獲取 Spring heapdump中的明文密碼的文章就介紹到這了,更多相關Spring heapdump密碼明文內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com！

如何獲取 Spring heapdump中的明文密碼

目錄

01、jvisualvm分析

02、jhat命令分析

03、heapdump_tool 敏感資訊查詢工具

04、Eclipse Memory Analyzer（MAT）

熱門文章