知识点

1、APK-抓包
2、资产信息收集
3、SpringBoot-漏洞利用
4、自动化工具
5、HeapDump-分析提取
6、AccessKEY-利用后续

演示案例：

1、APK-抓包

2、资产信息收集

3、SpringBoot-漏洞利用

SpringBoot漏洞利用：
https://github.com/LandGrey/SpringBootVulExploit

Spring Boot Actuator v2 未授权访问

关键信息*号覆盖，没获取什么价值信息

Springboot actuator配置不当jolokia RCE

由于不符合漏洞利用条件，放弃

4、自动化检测工具

Actuator未授权/漏洞检测工具
https://github.com/rabbitmask/SB-Actuator

该项目检测未授权还行，RCE漏洞这块就不行了，推荐使用其他自动化工具。
工具参考地址：https://blog.csdn.net/m0_60571842/category_12407184.html

5、HeapDump-信息泄漏-帐号密码等

HeapDump分析：
heapdump_tool：https://github.com/wyzxxz/heapdump_tool

6、OSS_AccessKey利用

https://github.com/mrknow001/aliyun-accesskey-Tools