针对Spring漏洞综合利用图形化工具

最新推荐文章于 2025-05-21 15:08:24 发布

潇湘信安

最新推荐文章于 2025-05-21 15:08:24 发布

阅读量500

点赞数

分类专栏：安全工具文章标签： spring java 安全

本文链接：https://blog.youkuaiyun.com/qq_40456839/article/details/132938665

版权

安全工具专栏收录该内容

105 篇文章

订阅专栏

工具简介

一款针对Spring漏洞框架进行快速利用的图形化工具，支持CVE-2022-22947、CVE-2022-22963漏洞的检测，命令执行及注入内存马等功能。

关注【Hack分享吧】公众号，回复关键字【230821】获取下载链接

使用方法

Spring Cloud Gateway命令执行（CVE-2022-22947）

Spring Cloud Gateway存在远程代码执行漏洞，该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点，其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可利用该漏洞通过恶意创建允许在远程主机上执行任意远程请求。

漏洞影响

VMWare Spring Cloud GateWay 3.1.0
VMWare Spring Cloud GateWay >=3.0.0，<=3.0.6
VMWare Spring Cloud GateWay <3.0.0

Spring Cloud Function SpEL 远程代码执行 (CVE-2022-22963)

Spring Cloud Function 是Spring cloud中的serverless框架。Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理，造成 Spel 表达式注入漏洞。攻击者可通过该漏洞执行任意代码。

漏洞影响

org.springframework.cloud:spring-cloud-function-context（影响版本：3.0.0.RELEASE~3.2.2）

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

潇湘信安

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CVE-2022-22965 Spring core RCE漏洞复现

afei001

04-01

4202

Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包，是一个包含Spring框架基本的核心工具包，Spring其他组件都要使用到这个包。未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。该漏洞广泛存在于Spring 框架以及衍生的框架中。

高危漏洞利用工具|一款专注Spring综合漏洞的利用工具

bobo_patrick的博客

03-12

560

Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用，目前仅为第一个版本，后续会添加更多漏洞POC，以及更多的持久化利用方式，如果你是一个长期一线攻防选手，那么这款工具对你来说简直不要太棒了，让你在众多目标中快速检测spring相关的CVE漏洞。

参与评论您还未登录，请先登录后发表或查看评论

春秋云境：CVE-2022-22963[漏洞复现]

如有错误感谢斧正

08-10

1226

到2024年8月11日，为期14天的专项国护结束最近都在忙攻防看1day、nday复现，现在有空了写一下靶场的复现。

CVE-2022-22963-Spring-Core-RCE图形化利用工具

热门推荐

LiBai'S BLOG

04-01

1万+

CVE-2022-22963 描述：Spring4Shell - Spring Core RCE - CVE-2022-22965 链接：https://github.com/TheGejr/SpringShell 描述：Spring4Shell Proof Of Concept/Information CVE-2022-22965 链接：https://github.com/BobTheShoplifter/Spring4Shell-POC 描述：This includes CVE-2022-22

春秋云境：CVE-2022-22963

一只爱吃橙子的羊

01-20

1053

SpringCloudFunction是SpringBoot开发的一个Servless中间件（FAAS），支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时， HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞，攻击者可通过该漏洞进行远程命令执行。题目链接为：http://ip:port P.S 卡慢不影响拿flag

Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)

我了解豹女就像农民伯伯了解大米

04-19

3220

启动vulhub docker环境：访问：http://192.168.29.130:8080/ Kali攻击机创建url.txt文件加入url 检测漏洞：利用工具POC进行探查是否存在SPEL漏洞 python Spel_RCE_POC.py url.txt 存在漏洞的url会显示到succ.txt中反弹shell工具： Kali机开启1207端口监听： nc -lvp 1207 执行反弹shell poc python Spel_RCE_Bas.

spring相关漏洞利用工具-SpringExploitGUI(三)

SuperherRo的博客

05-10

768

一款Spring综合漏洞的利用工具，工具支持多个Spring相关漏洞的检测以及利用

spring综合性利用工具-Scan-Spring-GO(四)，附下载链接。

白帽子黑客SuperherRo

09-18

656

针对SpringBoot的渗透工具，Spring漏洞利用工具

SpringCloud（Hoxton SR6）微服务工具集学习笔记

weixin_43711204的博客

11-14

2254

版本: Hoxton SR6

Kali Linux 定制化魔改添加常见60渗透工具

qq_41860876的博客

08-19

3188

主要对kali-linux系统进行美化，对kali的kde环境进行美化，包含系统美化、终端等美化、系统优化、新工具增加等

Spring Cloud项目合规性注册之-（单元集成测试报告）

HaSaKing的博客

02-26

1557

对于一个基于Spring Cloud的微服务项目，单元测试和集成测试文档的大纲应当详尽地覆盖各个组件和服务。

渗透测试之漏洞发现（工具）

qi_SJQ_的博客

01-23

1945

一、操作系统 1.扫描发现漏洞（工具）： Goby 使用手册：https://cn.gobies.org/docs.html Nmap（更推荐命令行的，图形化的功能不够全） Nmap扩展默认在scripts文件夹下，其他第三方扩展下载：插件下载： https://github.com/scipag/vulscan https://github.com/vulnersCom/nmap-vulners 博客：https://www.cnblogs.com/shwang/p/1262366.

Apache Subversion Use-After-Free漏洞（CVE-2022-24070）

murphysec的博客

04-19

680

CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃，进而导致拒绝服务，目前该漏洞已修复，建议受影响用户更新到安全版本，或下载官方补丁：https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号 CVE-2022-24070 标题 Apache Subversion Use-After-Free漏洞

Zabbix登录绕过漏洞复现(CVE-2022-23131)

MrHatSec的博客

04-06

6768

Zabbix登录绕过漏洞复现(CVE-2022-23131)

类加载与 Spring容器加载

u014365523的博客

05-17

573

类加载、spring容器加载

Spring的业务层，持久层，控制层的关系

qq_64392336的博客

05-19

815

上层依赖下层，下层不感知上层（如 Repository 不依赖 Service）。处理业务逻辑（如订单总价计算），调用 Repository 读写数据。是分层架构的核心组成部分，职责分离明确，通过依赖注入（DI）协作。事务管理困难（如多个 Repository 操作无法统一回滚）。：核心业务逻辑，事务管理，调用 Repository。定义数据库操作方法（如 SQL 或 ORM 映射）。封装响应（如 JSON），返回给前端。处理业务规则（如数据校验、流程控制）。组合多个持久层操作（如事务管理）。

Spring AI 从入门到精通

weixin_38687619的博客

05-18

746

SpringAI是一个旨在简化人工智能功能集成到应用程序中的项目，特别针对Java开发者。它通过深度整合Spring生态系统，利用Spring Boot的自动装配和AOP技术，大大减少了开发大模型应用所需的代码量。SpringAI的灵感来源于LangChain和LlamaIndex等Python项目，但它并非这些项目的直接移植，而是基于Java环境重新设计。SpringAI提供了对主流AI模型的支持，包括结构化输出、向量数据库工具调用、文档清洗引擎等，使得开发者可以轻松地将企业数据和API与AI模型连接起来

Spring Retry深度解析：原理、实践与扩展指南