【红队】Spring漏洞利用工具

sspsec 贝雷帽SEC 2024-03-27 00:00

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，
请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任
。
工具来自网络，安全性自测，如有侵权请联系删除。

工具介绍

ssp是一个一个用于探测和利用Spring框架中常见漏洞的工具，使用Go语言开发。

本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联网收集。

本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html

该工具支持探测和利用多个Spring框架版本的漏洞，包括：
– 2023 JeeSpringCloud任意文件上传漏洞

• CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞

• CVE-2022-22963 Spring Cloud Function SpEL RCE漏洞

• CVE-2022-22965 Spring Core RCE漏洞

• CVE-2021-21234 任意文件读取漏洞

• 2021 SnakeYAML_RCE漏洞

• 2021 Eureka_Xstream反序列化漏洞

• 2020 Jolokia配置不当导致RCE漏洞

• CVE-2018-1273 Spring Data Commons RCE漏洞

功能特性

• 支持单个URL的Spring信息泄露探测，包括暴露Spring框架版本、配置文件路径等。

• 支持对文件中包含的多个URL进行Spring信息泄露探测，方便批量扫描。

• 支持单个URL的Spring漏洞探测。

• 支持对文件中包含的多个URL进行Spring漏洞批量探测，提高效率。

工具使用

如若探测出漏洞 会进入漏洞利用模块 进行漏洞利用

下载链接

回复关键字【240326】获取下载链接

End

“点赞、在看与分享都是莫大的支持”

工具精选

【红队】一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具
【红队】集成一站式企业信息资产收集、网络资产测绘的工具。
【红队】内网渗透工具-Viper最新版本
【红队】一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具
【红队】afrog v2.7.2 新版本发布
【红队】横向移动命令执行工具—WMIHACKER
【红队】Aboutveinmind-tools 容器安全工具集
【红队】一个集成了非常多渗透测试工具
【红队】一款内网综合扫描工具，一键自动化、全方位漏扫。
【红队】红队快速打点工具-POC-bomber v3.0.0 版本
【红队】Medusa—红队武器库平台
【红队】一款C2设施前置流量控制工具
【红队】集成 vscan、nuclei、ksubdomain、subfinder等工具的打点神器–scan4all
【红队】网络安全单兵作战工具-YAKIT
【红队】最新 Burpsuite Professional 2023.6.1