针对Spring漏洞综合利用图形化工具

最新推荐文章于 2024-07-24 15:00:00 发布
最新推荐文章于 2024-07-24 15:00:00 发布
阅读量176 收藏
点赞数 1
分类专栏: 网络安全 文章标签: web安全 网络安全 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77069887/article/details/132458587
版权

                      免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

——鼹鼠(一只正)

工具简介

一款针对Spring漏洞框架进行快速利用的图形化工具,支持CVE-2022-22947、CVE-2022-22963漏洞的检测,命令执行及注入内存马等功能。

使用方法

Spring Cloud Gateway命令执行(CVE-2022-22947)

Spring Cloud Gateway存在远程代码执行漏洞,该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可利用该漏洞通过恶意创建允许在远程主机上执行任意远程请求。

VMWare Spring Cloud GateWay 3.1.0

VMWare Spring Cloud GateWay >=3.0.0,<=3.0.6

VMWare Spring Cloud GateWay <3.0.0

5714ecd5664548468f145fafaa9cf9c5.png

71e85e7e468f4eca9fa1875220114b17.png 

e1e5ead4b3ed4385b67adeb693713dc6.png 

 Spring Cloud Function SpEL 远程代码执行 (CVE-2022-22963)

Spring Cloud Function 是Spring cloud中的serverless框架。Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成 Spel 表达式注入漏洞。攻击者可通过该漏洞执行任意代码。

漏洞影响

org.springframework.cloud:spring-cloud-function-context(影响版本:3.0.0.RELEASE~3.2.2)

f3bef3aa771e4bd9b19b7a2bbee642bc.png

06ab0d840b134a4882870e93b0675c58.png 

 

2301_77069887
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring综合漏洞利用工具
白昼小丑的博客
02-25 571
工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入。
Spring漏洞综合利用工具
Libra1313的博客
02-11 1060
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
【护网必备】Spring综合漏洞的利用工具
Fly_鹏程万里
05-31 311
复现了几个spring之前的漏洞,顺手就武器化了下,工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。
Spring Cloud Gateway远程命令执行漏洞(CVE-2022-22947)
Bird&Bird
03-13 616
使用Spring Cloud Gateway的应用程序在Actuator端点启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。 当攻击者可以访问actuator API时,就可以利用该漏洞执行任意命令。
Spring漏洞综合利用工具v1.5
Wulai399的博客
05-29 562
Spring漏洞综合利用工具v1.5
【红队】Spring漏洞利用工具
Python_0011的博客
03-29 1520
ssp是一个一个用于探测和利用Spring框架中常见漏洞工具,使用Go语言开发。本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联网收集。本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html该工具支持探测和利用多个Spring框架版本的漏洞,包括:2023 JeeSpringCloud任意文件上传漏洞CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞
Java web 企业自动化办公系统
04-01
通过图形化的工作流设计,管理员可以自定义审批流程,如请假申请、报销审批等。此外,系统应具备权限管理功能,通过角色和用户的分配,控制不同人员对各个功能的访问权限。 运维方面,Docker和Kubernetes等容器化...
WEB框架0day漏洞的发掘及分析经验分享.pdf
09-11
总的来说,Web框架0day漏洞的发掘与分析是一项复杂的任务,需要综合运用多种技术和策略。只有深入理解框架的内部机制,才能有效预防和应对这些潜在的威胁,从而保障网络信息安全。因此,开发者和安全专家都需要不断...
ESIGELEC-Security-Java-Project:访问管理系统将与我们的身份验证目录对接,以实现个性化的访问管理。 该系统将使控制和保护进入ESIGELEC建筑物的访问成为可能。 实际上,可以根据建筑物的区域,用户的个人资料和时间表设置个性化访问权限,以验证只有授权人员才能访问某些区域。 被授权访问该网站的任何人都将获得或将获得一张Leo卡
05-19
综上所述,ESIGELEC-Security-Java-Project是一个综合性的访问管理系统,利用Java的强大功能和灵活性,实现了安全、高效的访问控制。通过合理的权限分配、时间表管理以及与身份验证目录的集成,确保了ESIGELEC建筑的...
JAVA上百实例源码以及开源项目
01-03
内容索引:JAVA源码,综合应用,J2me游戏,PNG,图形处理  这是个J2ME控制台程序,它能剔除PNG文件中的非关键数据段,减少文件大小从而达到压缩图片的目的。而图片的质量并不会受到损失。使用时候只需在控制台窗口执行...
JAVA上百实例源码以及开源项目源代码
12-11
图片到图片装载器、绘制火焰效果的X坐标,Y坐标、得到X坐标,Y坐标值、绘制火焰效果Image…… Java加密解密工具集 JCT v1.0源码包 5个目标文件 内容索引:JAVA源码,综合应用,JCT,加密解密 WDSsoft的一款免费源代码 JCT ...
Fckeditor(综合利用工具).zip
01-03
对fck各种漏洞的利用 很方便,还省得自己去构造。
spring综合性利用工具-SpringBoot-Scan-GUI(二)
siu~
08-14 1263
开源工具 SpringBoot-Scan 的GUI图形化版本
spring综合性利用工具-SpringBoot-Scan(一)
siu~
08-14 3550
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具
Spring漏洞综合利用
m0_52514790的博客
02-22 845
Spring Cloud Gateway存在远程代码执行漏洞,该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情 况下容易受到代码注入的攻击。Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成 Spel 表达式注入漏洞。攻击者可通过该漏洞执行任意代码。
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
HEAVEN569的博客
06-21 1582
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
spring综合应用进阶(一)
Daniel
07-16 369
业务需求分析,系统架构分析,业务代码分析.... 测试代码。。。
CVE-2020-14882_ALL综合利用工具
网络安全。
12-07 2503
简介 CVE-2020-14882_ALL综合利用工具,支持命令回显检测、批量命令回显、外置xml无回显命令执行等功能。 需要模块:requests、http.client (工具仅用于授权的安全测试,请勿用于非法使用,违规行为与作者无关。) 命令回显模块已知成功版本:12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 工具地址:https://github.com/GGyao/CVE-2020-14882_ALL(喜欢的点个star喔) 选项 功能一:命令回显 python3 CVE-20
《“微软蓝屏”敲响警钟:网络安全与系统稳定何去何从》
最新发布
2302_77186925的博客
07-24 1701
“微软蓝屏”事件暴露了网络安全哪些问题
spring工具类实例化bean
05-10
Spring是一个框架,它提供了很多功能来简化Java应用程序的开发。在Spring中,我们可以通过IoC(控制反转)来创建和管理对象。我们可以通过配置文件或注解来配置Spring容器,以便容器能够创建和管理对象。而Spring工具类实例化Bean的过程正是其中一部分。 对于工具类,我们可以使用静态方法来获取实例。然而,在使用Spring时,我们需要将静态方法转化为实例方法,以便容器能够更好地管理对象。在Spring中,我们可以使用静态工厂方法或实例工厂方法来获取实例。 静态工厂方法是在工具类中定义的静态方法,用于返回需要创建的实例。Spring容器在创建Bean时调用这个静态方法,生成Bean实例并返回。静态工厂方法可以通过bean的name属性来调用,也可以通过Ref属性来引用其他Bean。 实例工厂方法是在普通类中定义的成员方法。在Spring容器创建Bean时,调用实例工厂方法生成Bean实例并返回。实例工厂方法可以通过name属性或Ref属性来引用其他Bean。 总的来说,Spring工具类实例化Bean的过程非常灵活和方便。我们可以根据自己的需求和习惯,选择使用静态工厂方法或实例工厂方法,以便容器更好地管理对象。这也是Spring框架的一个亮点之一,为开发者提供了更便捷的开发和管理方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2301_77069887

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值