|
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
工具介绍
注意!!以下几点请务必谨记
注意!!以下几点请务必谨记
-
工具中出现的漏洞,需要先熟悉之后才能利用本工具。部分接口极其容易造成服务器的springboot服务异常,包括不限于报错、程序退出、无法执行代码,请小心使用!!
-
本工具仅限学习使用,请勿用于非法用途!!!!!!!! -
工具仍在开发阶段,目前测试无异常,使用次数多难免会造成不可预见的问题,请提issue,确认后会修改BUG,感谢各位。
工具使用
# git clone下载本项目git clone https://github.com/wh1t3zer/SpringBootVul-GUI/tree/develop可直接运行Springboot_vul.java# 也可直接下载jar包java -jar SpringBootVul_GUI.jar
确保采用的是jdk1.8版本,本系统采用的是javafx,高版本需自行加载javafx依赖
├──SpringbootVul-GUI├── META-INF/├── resources/ # 存放资源文件、字典和exp的跨文件├── HPFile/ # 存放下载的heapdump├── src/ # 工程代码├── image/├── libs/ # 所需依赖
开发进度
已完成:
-
配置不合理导致的泄漏
-
脱敏密码明文(1)
-
增加漏洞利用选择模块,可以选择单个或多个漏洞进行检测
-
命令执行漏洞式支持执行命令
-
Spring Gateway 远程代码执行漏洞
-
heapdump 文件下载导致敏感信息泄露
-
druid数据连接池
-
脱敏密码明文(2)
-
脱敏密码明文(3)
-
eureka中xstream基于反序列化的RCE
-
spring.datasource.data 基于h2数据库的RCE
待完成:
-
基于SpEL注入的RCE
-
SpringCloud 的 SnakeYaml 的 RCE
-
jolokia中logback基于JNDI注入的RCE
-
jolokia中realm基于JNDI注入的RCE
-
H2数据库设置查询属性的RCE
-
h2数据库的控制台基于JNDI注入的RCE
-
mysql中jdbc基于反序列化的RCE
-
logging.config的logback基于JNDI的RCE
-
groovyRCE的logging.config
-
spring.main.source 的groovyRCE
短期目标准备
-
一键打入内存马(目前只有Spring Cloud Gateway) -
加入绕过逻辑
-
预测深度扫描任务
项目演示
脱敏(1)
脱敏(2)
得到授权字段的数据,用base64解码即可,有时间再优化下可以直接显示到文本框里
脱敏(3)
#2 Spring Cloud Gateway 交互式命令
#3Eureka反序列化RCE(慎用)
直接点击getshell重启,简单poc测试的没写,python文件放相同目录,需要在vps启用2个端口,一个是你python服务器的端口,一个是反弹端口,写在python文件中,重启端口默认是9000,注意这两个端口区别,输入框的端口是python端口
#4H2DatabaseSource RCE(慎用)
目前已经基本完成一键getshell,理论上只要在不关闭的情况下可以无限弹,因为目前的payload是从T5开始的,如果遇到网站被测试过时,那很大概率会报错而导致对方服务宕机,因为这不回显RCE,无法判断到底有没有被测试过。
python -m http.server 80
#5 端点扫描
端点扫描经过延迟降速处理,防止请求中断,heapdump文件无法下载,不过偶尔还会发生,直接手动下载就可以了
#6 一键上马
参考项目
感谢以下项目或文章提供帮助和支持,具体漏洞原理可参考以下地址
https://github.com/LandGrey/SpringBootVulExploithttps://mp.weixin.qq.com/s/2wKB3jACAkIiIZ96tVb5fAhttps://xz.aliyun.com/t/11331?time__1311=Cq0xR70QoiqDqGXYYIhxWucgYDkIHT1iT4D#toc-3
下载地址
原文始发于微信公众号(Hack分享吧):一个半自动化springboot打点工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论