文章总结： 文章记录了通过SpringBoot配置泄露实现数据库接管的实战。利用APIkit识别框架泄露后，访问actuator下载heapdump，并配合SpringBoot-Scan发现未授权的Druid和Swagger。使用JDumpSpider解析dump文件获取数据库凭据，进而连接数据库读取用户表并解密管理员密码，最终达成数据库接管。 综合评分： 89 文章分类： 渗透测试,实战经验,WEB安全

从springboot框架泄露到数据库接管

原创

夜子

夜子安全Sec

2025年12月28日 00:58 广西

郑重声明

本公众号文章源自作者日常积累及授权转载，未经许可严禁转载，转载需联系开白。文中内容仅限学习交流，严禁用于商业及非法用途，涉及网络安全相关未经授权不得测试，违规使用后果自负，与作者及本号无关 。

在日常的常规渗透中，各位师傅肯定会碰到各种的框架进行一个网站的搭建。ThinkPHP、Struts2 、Shiro、Spring 等等。****

面对不同的框架相对应的版本漏洞也不同，这里师傅们可以通过一些指纹识别的插件或者脚本可以进行识别，更好地判断出框架使其对应各种nday漏洞。

某次挖掘小程序的过程，刚进入到小程序页面中，我的burp插件APIkit马上就扫出了该小程序的框架识别，并且返回出了对应的spring的配置泄露的。

插件地址：https://github.com/API-Security/APIKit

我们直接访问该域名下的actuator目录，可以看到配置的信息还是非常多的，这边我们可以看到有heapdump的文件泄露，直接进行一个文件的下载。

再下载heapdump的过程中，我们可以再尝试一下有无springboot其他的泄露，通过曾哥的springboot-scan工具进行一个域名扫描（主要heapdump下载太慢了）

工具地址：https://github.com/AabyssZG/SpringBoot-Scan

可以看到，通过脚本工具，成功地扫描出swagger的api接口管理和druid并且是druid的未授权。经典的三个臭皮匠，spring+swagger+druid。该小程序本身的功能点并不存在任何漏洞，但唯独这块就是一个很大的突破点。

熟悉的师傅都应该清楚，有druid未授权可以尝试拿去session值进行一个伪造登录，或者拿去url监控进行一个接口遍历未授权。swagger这块可以利用postman进行一个接口的访问请求，尝试寻找未授权的接口，但是师傅们注意delete这块比较敏感，建议最好手工辨别尝试，或者不考虑。

成功下载出了heapdump后，我们利用JDumpSpider工具进行解析出里面的敏感内容，通过加载java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump该命令后，加载出各heapdump的文件信息。成功找到了数据库的地址以及数据库用户名密码等信息。如果该小程序有shiro，可以再找找key。目前我没发现有存在该功能点。

工具地址：https://github.com/whwlsfb/JDumpSpider

拿取信息后，直接打开我们的Navicat，输入泄露的地址，用户名密码等

成功连接到数据库，泄露多个表，再找到user的表名，成功找到admin等账号的后台密码，后续再利用解密等工具或者网站将其解密获取明文，再进入web后台再打一批。该站点就拿下👍，不过能链接到数据库，危害也是蛮大的。

各位师傅觉得文章有意思，记得设置为星标哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜子安全Sec 夜子《从springboot框架泄露到数据库接管》