针对Spring漏洞综合利用图形化工具
hw攻防演练期间,工具安全性自测!
工具简介 一款针对Spring漏洞框架进行快速利用的图形化工具,支持CVE-2022-22947、CVE-2022-22963漏洞的检测,命令执行及注入内存马等功能。
使用方法 Spring Cloud Gateway命令执行(CVE-2022-22947)
Spring Cloud Gateway存在远程代码执行漏洞,该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可利用该漏洞通过恶意创建允许在远程主机上执行任意远程请求。
漏洞影响
- VMWare Spring Cloud GateWay 3.1.0
- VMWare Spring Cloud GateWay >=3.0.0,<=3.0.6
- VMWare Spring Cloud GateWay <3.0.0
Spring Cloud Function SpEL 远程代码执行 (CVE-2022-22963)Spring Cloud Function 是Spring cloud中的serverless框架。Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成 Spel 表达式注入漏洞。攻击者可通过该漏洞执行任意代码。
漏洞影响
- org.springframework.cloud:spring-cloud-function-context(影响版本:3.0.0.RELEASE~3.2.2)
下载链接:https://github.com/savior-only/Spring_All_Reachable
| 
发表于 2023-8-24 16:19:48