actuator信息泄露
/actuator/auditevents
/actuator/beans
/actuator/health
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/info
/actuator/loggers
/actuator/heapdump
/actuator/threaddump
/actuator/metrics
/actuator/scheduledtasks
/actuator/httptrace
/actuator/mappings
/actuator/jolokia
/actuator/hystrix.stream
无法访问可利用双斜杠尝试绕过//actuator/*
,具体原理未知。
其中前面可能会存在自定义字符串,例如api/actuator/*
等。
其中/actuator/heapdump
可以下载的heapdump
,利用工具可获取敏感信息,以及可能存在部分RCE漏洞。
敏感信息:
- 服务暴露:Redis、MySQL、ActiveMQ等
- 服务账号密码明文暴露
- 云厂商
Access Key
和Secret Access Key
工具:
wyzxxz/heapdump_tool: heapdump敏感信息查询工具,例如查找 spring heapdump中的密码明文,AK,SK等 (github.com)