“SpringExploitGUI_v1.0”的工具,这个工具是一个针对Spring框架中已知漏洞的武器化工具。

工具支持单个漏洞单个目标检测,也支持多个目标检测。

武器化工具是专门为了便于渗透测试人员或攻击者利用已知漏洞而设计的软件。根据描述,此工具可以用来检测和利用以下三个漏洞:

Spring Cloud Gateway RCE (CVE-2022-22947): 这个远程代码执行(RCE)漏洞存在于Spring Cloud Gateway中,工具提供了命令执行、一键反弹shell和哥斯拉内存马注入的能力。

Spring Cloud Function SpEL RCE (CVE-2022-22963): 这是一个通过SpEL(Spring Expression Language)表达式执行远程代码的漏洞,工具支持一键反弹shell功能。

Spring Framework RCE (CVE-2022-22965): 又名“Spring4Shell”,这是一个在Spring Framework中的远程代码执行漏洞,工具可以通过写入webshell来执行命令,未来可能支持更多利用方式,如写入SSH公钥和创建计划任务等。

工具使用说明:

单个检测 & 批量检测: 工具既可以对单个目标进行漏洞检测,也可以对多个目标进行批量检测。

漏洞利用: 工具提供了针对不同漏洞的利用方法,允许用户执行远程命令、注入恶意代码、建立反向shell连接等。

推荐理由:

安全研究: 对于安全研究人员来说,这样的工具可以帮助他们快速验证漏洞的存在,以及评估漏洞的严重性和攻击可能性。

渗透测试: 渗透测试人员可以使用这个工具在合法授权的情况下,检测目标系统是否容易受到已知Spring漏洞的攻击,从而帮助增强系统的安全性。

教育目的: 在教学环境中,该工具可以作为学习和展示漏洞利用技术的实验工具,帮助学生更好地理解安全概念。

开源地址

https://github.com/charonlight/SpringExploitGUI

开源是一种精神,致敬屏幕背后的你!

Q.E.D.

  • reword 您的打赏,就是俺创作的动力