Página Inicial>Relacionado com a programação>Outro código-fonte
Baixar
SpringBootExploit

SpringBootExploit

Uma rápida exploração de vulnerabilidade para a página SpringBootEnv

PENDÊNCIA

  • Suporta desserialização Eureka XStream RCE

  • Suporte para injeção de cavalo de memória Fastjson

  • Suporta mais vulnerabilidades de desserialização que podem ser injetadas usando cavalos de memória JNDI

  • Suporta caminho de cavalo de memória e modificação de senha

........

A história toda

O projeto foi escrito com base na lista de verificação de exploração de vulnerabilidades do Spring Boot, com o objetivo de explorar vulnerabilidades rapidamente e reduzir o limite para exploração de vulnerabilidades durante hvv.

Baixe e instale

  1. Baixe a versão mais recente do pacote compactado Spring Boot Exploit das versões e use-o com JNDIExploit. (:estrela:recomendado)


    1. clone do git https://github.com/0x727/SpringBootExploit

    2. git clone https://github.com/0x727/JNDIExploit (atualmente não aberto ao público)

    3. mvn clean package -DskipTests abre respectivamente o pacote SpringBootExploit e JNDIExploit

Como usar

  1. Primeiro carregue a ferramenta JNDIExploit empacotada no servidor e descompacte-a. Inicie o java usando o comando -jar JNDIExploit-1.2-SNAPSHOT.jar

  2. Insira o endereço de destino e o endereço do servidor de configuração e clique em Conectar. A imagem a seguir aparece, o que significa que a conexão foi bem-sucedida.

200214227-e6c61ef1-6068-4553-a083-0c2d203591b1.png

  1. explorar

    Recomenda-se clicar primeiro no ambiente de detecção e ele determinará automaticamente se há uma vulnerabilidade. O método de verificação de vulnerabilidade é o método Check List. Se houver uma maneira melhor de enviar uma ordem de serviço, consideraremos adicioná-la.

    200214192-796332cf-fd56-4f30-b624-e17d2137aa8c.png

    200214251-03571a05-ae55-47be-88b6-00cd5de4a737.png

    1. Atualmente, a exploração de vulnerabilidades suporta apenas injeção de memória

Isenção de responsabilidade

Esta ferramenta é usada apenas para testes de autoverificação de segurança

Quaisquer consequências e prejuízos diretos ou indiretos causados ​​pela divulgação e utilização das informações disponibilizadas por esta ferramenta são de responsabilidade do próprio usuário, não assumindo o autor qualquer responsabilidade por isso.

Tenho o direito de modificar e interpretar esta ferramenta. Sem a permissão do departamento de segurança de rede e dos departamentos relevantes, você não poderá usar esta ferramenta para realizar quaisquer atividades de ataque e não poderá usá-la para fins comerciais de forma alguma.

Projeto de referência

https://github.com/woodpecker-appstore/springboot-vuldb

Expandir
Informações adicionais
Aplicativos Relacionados
Recomendado para você
Informações Relacionadas Todos
Comentários dos Usuários