|
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
工具简介
工具使用
安装Python依赖库
pip3 install -r requirements.txt工具的用法及参数
用法:对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u example.com读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -f url.txt对单一URL进行漏洞利用: python3 SpringBoot-Scan.py -v example.com扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d example.com参数:-u --url 对单一URL进行信息泄露扫描-f --file 读取目标TXT进行批量信息泄露扫描-v --vul 对单一URL进行漏洞利用-d --dump 扫描并下载SpringBoot敏感文件(可提取敏感信息)
工具演示
Dir.txt为内置的信息泄露端点字典,我基本收集齐了SpringBoot的相关敏感信息泄露端点,如果有遗漏,欢迎各位师傅跟我联系,哈哈。
对单一URL进行信息泄露扫描
python3 SpringBoot-Scan.py -u example.com
读取目标TXT进行批量信息泄露扫描
python3 SpringBoot-Scan.py -f url.txt
对单一URL进行漏洞利用
python3 SpringBoot-Scan.py -v example.com
默认执行 id Payload,只是证明漏洞存在即可,有需要可以提issue来添加一个命令自定义功能!
扫描并下载SpringBoot敏感文件
python3 SpringBoot-Scan.py -d example.com
目前敏感文件目录内置了5个,如下:
actuator/heapdumpgateway/actuator/heapdumpheapdumpheapdump.jsonhystrix.stream
如果有师傅有其他敏感文件的目录,可以提交issues,谢谢!!!
下载地址
回复关键字【230130】获取下载链接
往期推荐工具
原文始发于微信公众号(Hack分享吧):Spring Boot的开源渗透框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论