高危漏洞利用工具|一款专注Spring综合漏洞的利用工具

最新推荐文章于 2024-10-04 22:13:24 发布
最新推荐文章于 2024-10-04 22:13:24 发布
阅读量475 收藏 9
点赞数 5
文章标签: 网络安全 个人开发 测试工具 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobo_patrick/article/details/136641407
版权

0x01 前言

今天复现了几个spring之前的漏洞,顺手就武器化了下,工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式,如果你是一个长期一线攻防选手,那么这款工具对你来说简直不要太棒了,让你在众多目标中快速检测spring相关的CVE漏洞

0x02 工具使用说明

单个检测&&批量检测

工具支持单个漏洞单个目标检测,也支持多个目标检测

图片

图片

漏洞利用

Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入

图片

Spring Cloud Function SpEL RCE (CVE-2022-22963)目前支持一键反弹shell

Spring Framework RCE (CVE-2022-22965) 目前支持命令执行,通过写入webshell实现的,后续会继续实现写入ssh公钥、计划任务等利用方式

图片

0x03 工具下载

微信公众号: 关注Sec探索者, 回复SpringExploitGUI 即可获取下载链接

Sec探索者
关注
Java序列化与JNDI注入漏洞案例实战
悦分享
08-04 451
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。序列化的使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。Java 序列化基础。...
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
qq_44433172的博客
08-22 2107
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
漏洞扫描工具
07-31
漏洞检测工具,用于练习使用,不得用于其他非法目的,
Spring综合漏洞利用工具
白昼小丑的博客
02-25 661
工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入。
Spring漏洞综合利用工具
Libra1313的博客
02-11 1194
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
spring综合利用工具-SpringBoot-Scan-GUI(二)
siu~
08-14 1511
开源工具 SpringBoot-Scan 的GUI图形化版本
spring相关漏洞利用工具-SpringBootExploit(二)
siu~
08-14 2055
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
漏洞通告 | Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞
zz_tech的博客
06-17 1355
Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞
Vulfocus复现Spring框架远程命令执行漏洞(CNVD-2022-23942)
Aquarius_ego的博客
05-16 1758
Vulfocus复现Spring框架远程命令执行漏洞(CNVD-2022-23942)/spring-core-rce-2022-03-29
Web漏洞总结: OWASP Top 10
pdai的博客
01-09 4042
本文原创,更多内容可以参考: Java 全栈知识体系。如需转载请说明原处。 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业内Web安全漏洞的趋势。@pdai OWASP简介 OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不...
基于Spring+Struts+Hibernate实现的健康管理平台
mengyu965的博客
04-22 1606
源码及资料: http://www.byamd.xyz/sss.html 摘要 随着网络技术的不断发展,网站的开发与运用变得更加广泛。这次采用java语言SSH框架(Spring,Struts,Hibernate)设计并实现了面向特定群体的健康管理平台。该网站主要有教师饮食管理、教师健康日志、教师体检管理、疾病预测评估等功能模块。通过该网站,教师可以更好的关注自己的体检状况以及最近的身体状况,根据自身情况调整饮食,睡眠等生活习惯,并且可以及时预测高血压以及糖尿病的患病可能性大小,以便采取有效地预防措.
Spring漏洞综合利用工具v1.5
Wulai399的博客
05-29 638
Spring漏洞综合利用工具v1.5
【红队】Spring漏洞利用工具
Python_0011的博客
03-29 1672
ssp是一个一个用于探测和利用Spring框架中常见漏洞工具,使用Go语言开发。本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联网收集。本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html该工具支持探测和利用多个Spring框架版本的漏洞,包括:2023 JeeSpringCloud任意文件上传漏洞CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞
spring综合利用工具-SpringBoot-Scan(一)
siu~
08-14 4684
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具
探索SpringExploit:一款强大的Spring安全漏洞检测工具
gitblog_00051的博客
04-19 671
探索SpringExploit:一款强大的Spring安全漏洞检测工具 项目地址:https://gitcode.com/gh_mirrors/sp/SpringExploit 项目简介 是一个由SummerSec开发的开源项目,专为Java开发者和安全工程师设计,用于检测Spring框架中的潜在安全漏洞。在依赖于Spring进行应用开发的大环境中,这个工具可以帮助开发者提前发现并修复安全风险,从...
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-29 2035
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发。CVE-2022-22965\Spring-Core-RCE核弹级别漏洞的rce图形化GUI一键利用工具,基于JavaFx开发,图形化操作更简单,提高效率。
探索Spring4Shell漏洞扫描器:强大的安全防护工具
gitblog_00067的博客
04-26 294
探索Spring4Shell漏洞扫描器:强大的安全防护工具 spring4shell-scanA fully automated, reliable, and accurate scanner for finding Spring4Shell and Spring Cloud RCE vulnerabilities项目地址:https://gitcode.com/gh_mirrors/sp/sp...
spring综合利用工具-SBSCAN(三)
siu~
10-09 1511
SBSCAN是一款针对spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证。
批量SpringBoot漏洞扫描利用工具 绕过waf检测|漏洞探测,附下载链接。
最新发布
分享渗透安全工具
10-04 451
SpringBoot漏洞扫描工具旨在帮助用户检测SpringBoot应用中的安全漏洞。默认情况下,它会优先从springboot\_urls.txt文件中读取扫描路径。若接口不存在,工具会尝试拼接API前缀进行扫描。扫描所需的URL应直接放在urls.txt中,而扫描结果和下载的heapdump文件将保存在result目录下。
Android系统漏洞检测与提权利用深度研究及VTS工具设计
为了应对这些挑战,作者提出了VTS( Vulnerability Testing System),一个专门针对Android系统漏洞检测的工具设计。VTS的需求分析阶段着重考虑了工具的功能需求,如漏洞扫描、漏洞分类、风险评估和报告生成等功能,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值