Spring综合漏洞利用工具

最新推荐文章于 2024-03-29 05:00:00 发布
最新推荐文章于 2024-03-29 05:00:00 发布
阅读量454 收藏 8
点赞数 12
文章标签: spring java 后端 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36759934/article/details/136278585
版权

Spring综合漏洞利用工具


工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式

单个检测&&批量检测
工具支持单个漏洞单个目标检测,也支持多个目标检测

漏洞利用
Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入
Spring Cloud Function SpEL RCE (CVE-2022-22963)目前支持一键反弹shell
Spring Framework RCE (CVE-2022-22965) 目前支持命令执行,通过写入webshell实现的,后续会继续实现写入ssh公钥、计划任务等利用方式

该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。

地址:Spring综合漏洞利用工具 - 我爱黑客网

飞扬的浩
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
简单了解Spring中常用工具
08-29
主要介绍了简单了解Spring中常用工具类,非常全面,具有一定参考价值,需要的朋友可以了解下。
STRUTS2的getClassLoader漏洞利用
03-01
我在《攻击JAVAWEB》,文中提多关于“classLoader导致特定环境下的DOS漏洞”,当时并没有更加深入的说明,这几天struts官方修补了这个漏洞,本文是对这个漏洞的深入研究。这一切,得从我们控制了classLoader说起,曾经写过一篇文章,提到了一个小小的技术细节,非常不起眼的一个鸡肋。引用《Springframework(cve-2010-1622)漏洞利用指南》:Struts2其实也本该是个导致远程代码执行漏洞才对,只是因为它的字段映射问题,只映射基础类型,默认不负责映射其他类型,所以当攻击者直接提交URLs[0]=xxx时,直接爆字段类型转换错误,结果才侥幸逃过一劫罢了。t
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-29 1900
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发。CVE-2022-22965\Spring-Core-RCE核弹级别漏洞的rce图形化GUI一键利用工具,基于JavaFx开发,图形化操作更简单,提高效率。
spring综合性利用工具-SpringBoot-Scan-GUI(二)
siu~
08-14 1005
开源工具 SpringBoot-Scan 的GUI图形化版本
Spring漏洞综合利用工具
Libra1313的博客
02-11 916
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
【红队】Spring漏洞利用工具
最新发布
Python_0011的博客
03-29 1310
ssp是一个一个用于探测和利用Spring框架中常见漏洞的工具,使用Go语言开发。本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联网收集。本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html该工具支持探测和利用多个Spring框架版本的漏洞,包括:2023 JeeSpringCloud任意文件上传漏洞CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞。
spring相关漏洞利用工具-SpringBootExploit(二)
siu~
08-14 1180
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
基于python写的Spring快速漏洞验证脚本
08-16
基于python写的Spring快速漏洞验证脚本
spring mvc 参数绑定漏洞
03-20
NULL 博文链接:https://yfm049.iteye.com/blog/860494
spring综合性利用工具-SpringBoot-Scan(一)
siu~
08-14 2271
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具
360公司_RDP漏洞[ CVE-2019-0708 ]无损扫描工具_v2.zip
06-01
360公司_RDP漏洞[ CVE-2019-0708 ]无损扫描工具利用漏洞,帮助查看自己服务器有没有漏洞的一款工具
Spring Boot Actuator详解与漏洞利用
做自己喜欢的事,并将其发挥到极致!
08-19 6281
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。Actuator是Spring Boot提供的对应用系统的监控和管理。
Springboot信息泄露以及heapdump的利用
热门推荐
LiBai'S BLOG
10-12 2万+
努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
一款针对Spring漏洞框架进行快速利用的图形化工具
liuhyusb的博客
11-25 795
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
Spring漏洞综合利用
m0_52514790的博客
02-22 805
Spring Cloud Gateway存在远程代码执行漏洞,该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情 况下容易受到代码注入的攻击。Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成 Spel 表达式注入漏洞。攻击者可通过该漏洞执行任意代码。
spring综合性利用工具-Scan-Spring-GO(四)
siu~
03-10 573
针对SpringBoot的渗透工具Spring漏洞利用工具
SpringVulScan--burpsuite插件
m0_51607644的博客
07-06 3208
项目地址:GitHub - tpt11fb/SpringVulScan: burpsuite 的Spring漏洞扫描插件。SpringVulScan:支持检测:路由泄露|CVE-2022-22965|CVE-2022-22963|CVE-2022-22947|CVE-2016-4977
Springboot Actuator未授权访问漏洞复现
crowsec
07-31 9027
SpringBootActuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助监控和管理SpringBoot应用。这个模块是一个采集应用内部信息暴露给外部的模块,上述的功能都可以通过HTTP和JMX访问。https)Actuator是SpringBoot提供的应用系统监控的开源框架。https)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
spring actuator 漏洞
07-29
回答: Spring Actuator是Spring Boot框架中的一个模块,用于监控和管理应用程序。然而,有一些与Spring Actuator相关的漏洞可能会导致信息泄露。根据引用\[1\]和引用\[2\]的内容,Spring Boot 2.x版本的Actuator模块存在信息泄露的漏洞。具体来说,通过访问特定的路径,攻击者可以获取应用程序的敏感信息。需要注意的是,不同版本的Spring Actuator可能存在差异,但是这些漏洞的原理在不同版本之间差别不大。因此,对于Spring Actuator的漏洞,我们需要确保及时更新到最新版本,并采取适当的安全措施来保护应用程序的敏感信息。 #### 引用[.reference_title] - *1* *3* [Spring Boot Actuator 漏洞复现合集](https://blog.csdn.net/drnrrwfs/article/details/125242990)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Springboot之Actuator信息泄露漏洞利用](https://blog.csdn.net/JHIII/article/details/126601858)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞扬的浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值