Spring Boot Actuator未授权访问发现/env中有数据库连接配置信息,但是密码都是*号,这时可以尝试是否可以下载heapdump,在内存信息中找到对应的密码。
用工具Eclipse Memory Analyzer(MAT)(下载地址:https://www.eclipse.org/mat/downloads.php)加载文件:
获取配置信息:select * from org.springframework.web.context.support.StandardServletEnvironment
通过字符串匹配查找用户session:select * from java.lang.String s WHERE toString(s) LIKE ".SESSION."
也可通过模糊搜索,寻找密码信息: