【护网必备】Spring综合漏洞的利用工具

最新推荐文章于 2025-06-18 15:56:12 发布
原创 最新推荐文章于 2025-06-18 15:56:12 发布 · 501 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #HW #护网 #漏洞利用 #Spring漏洞利用

背景介绍

复现了几个spring之前的漏洞,顺手就武器化了下,工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式

漏洞检测

工具支持单个漏洞单个目标检测,也支持多个目标检测

漏洞利用

Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入

Spring Cloud Function SpEL RCE (CVE-2022-22963)目前支持一键反弹shell

Spring Framework RCE (CVE-2022-22965) 目前支持命令执行,通过写入webshell实现的,后续会继续实现写入ssh公钥、计划任务等利用方式

免责声明

本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任

下载地址

点击下方名片进入公众号

回复关键字【240531】获取下载链接

优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...),漏洞利用工具(各大CMS、OA利用
代码讲故事
04-16 716
优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...),漏洞利用工具(各大CMS、OA利用工具、中间件利用工具、反序列化利用工具、数据库利用工具等项目........),内渗透工具(隧道代理、密码提取、木马免杀、域渗透.....)、应急响应工具、甲方运维工具、等其他安全攻防资料整理,供攻防双方使用。
Spring综合漏洞利用工具
白昼小丑的博客
02-25 895
工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入。
Spring漏洞综合利用工具
Libra1313的博客
02-11 1418
络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联化提供安全保障。
Spring漏洞太难搞?AiPy生成漏洞检测辅助工具
最新发布
m0_73651592的博客
06-18 842
Spring框架作为主流Java开发平台,其漏洞风险(如CVE-2022-22965)与组件设计缺陷密切关联。该框架兼具显著优势(完善的安全模块、依赖注入机制)与使用痛点(复杂的安全配置、注解依赖问题)。针对其未授权访问漏洞检测需求,提出基于Aipy开发GUI工具的方案,实现自动化扫描SwaggerUI等组件路径,并提供可视化漏洞报告与修复建议,提升检测效率。工具设计涵盖URL输入、风险分级、修复代码生成等全流程功能,有效解决Spring安全配置复杂性问题。
Spring漏洞综合利用工具v1.5
Wulai399的博客
05-29 824
Spring漏洞综合利用工具v1.5
高危漏洞利用工具|一款专注Spring综合漏洞利用工具
bobo_patrick的博客
03-12 587
Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式,如果你是一个长期一线攻防选手,那么这款工具对你来说简直不要太棒了,让你在众多目标中快速检测spring相关的CVE漏洞
spring综合利用工具-SpringBoot-Scan-GUI(二)
SuperherRo的博客
08-14 1964
开源工具 SpringBoot-Scan 的GUI图形化版本
2023年关键漏洞攻防演练手册:企业必备高危漏洞清单
在2023年的攻防演练中,必备的高危漏洞集合由斗象科技漏洞情报中心提供,该集合针对企业和组织的络安全进行重点关注,旨在帮助它们增强防措施,确保系统安全。这个v1.0版本的集合包含了多个关键漏洞,涵盖了不同...
spring相关漏洞利用工具-SpringBootExploit(二)
SuperherRo的博客
08-14 2709
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
spring综合利用工具-SpringBoot-Scan(一)
SuperherRo的博客
08-14 7514
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具
【红队】Spring漏洞利用工具
Python_0011的博客
03-29 1901
ssp是一个一个用于探测和利用Spring框架中常见漏洞工具,使用Go语言开发。本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联收集。本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html该工具支持探测和利用多个Spring框架版本的漏洞,包括:2023 JeeSpringCloud任意文件上传漏洞CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞
漏洞扫描工具
07-31
漏洞检测工具,用于练习使用,不得用于其他非法目的,
【奇淫技巧】mysql注入小技巧(非常详细)零基础入门到精通,收藏这一篇就够了
A1_3_9_7的博客
03-17 929
举例:通过布尔盲注的方法注当前登录用户名的第一位(这里是"r",ascii编码后是114),通过截取user字段第一位与爆破位置的数字进行比较,如果爆破位置数字小于114,就会触发溢出数据库报错,如果>=114就会回显正常,所以这里可以判断当前登录用户名的第一位ascii编码后是114,是"r"。内容概要:包括 内、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞工具、SQLmap、NMAP、BP、MSF…
Spring Boot Actuator 漏洞利用
isxiaole的博客
04-12 2788
漏洞利用流程如下: 利用详情参考: https://www.freebuf.com/news/others/234266.html
SSP - Spring框架漏洞扫描工具
学生
12-02 1083
在日常渗透工作中,遇到很多Spring框架搭建的服务,很多都是Whitelabel Error Page页面,对于Spring的扫描工具github中也有很多项目 python的 java的,但使用go的就很少。因为自身电脑的缘故 使用go编译的工具 加入环境变量中 能让我很方便的使用命令行来使用这些命令行工具,做到打开命令行就能进行 “随手一测”。
spring综合利用工具-SBSCAN(三)
SuperherRo的博客
10-09 2028
SBSCAN是一款针对spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证。
spring&springboot综合利用工具——yybaby spring scan 春天大宝贝 工具使用介绍和下载
dreamer292的博客
03-06 978
(春天大宝贝)是一款专门针对框架的安全检测工具,能够快速识别等安全风险。此外,还支持,可以在实战中快速提取敏感信息,极大提高渗透测试与应急响应的效率。
用于查找 Spring4Shell 和 Spring Cloud RCE 漏洞的全自动、可靠且准确的扫描程序
A_991128a的博客
02-06 754
免责声明:此文所提供的文章内容,只为工具源码学习内容或人员(人员,站管理者)对自己所负责的站、等(包括但不限于)进行检测或维参考。
批量SpringBoot漏洞扫描利用工具 绕过waf检测|漏洞探测,附下载链接。
分享渗透安全工具
10-04 964
SpringBoot漏洞扫描工具旨在帮助用户检测SpringBoot应用中的安全漏洞。默认情况下,它会优先从springboot\_urls.txt文件中读取扫描路径。若接口不存在,工具会尝试拼接API前缀进行扫描。扫描所需的URL应直接放在urls.txt中,而扫描结果和下载的heapdump文件将保存在result目录下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值