概述
近期比较忙,但也没那么忙,抽空根据反馈的Bug又优化了一下🤩
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
读取目标TXT进行批量敏感文件扫描: python3 SpringBoot-Scan.py -df url.txt
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 感谢
@iChet666师傅的反馈,针对CVE-2021-21344 (Eureka_Xstream 反序列化漏洞) 在利用过程中可能导致破坏业务的情况,进行流程优化和Exp利用二次确认 - 修复了工具流程处理上的若干Bug
致谢名单
- 感谢 @iChet666 师傅的反馈,针对CVE-2021-21344 (Eureka_Xstream 反序列化漏洞) 进行流程优化和Exp利用二次确认
- 感谢 @ez-lbz 师傅提交的PR,添加支持CVE-2025-41243 (Spring Cloud Gateway环境属性修改漏洞)
- 感谢 @ez-lbz 师傅提交的PR,添加支持CVE-2024-37084 (Spring Cloud Data Flow远程命令执行漏洞)
- 感谢 @kn1g78 师傅提交的PR,修复了端点扫描的若干BUG
- 感谢 @ngc660sec 师傅提交的PR,对于自定义请求头进行类型判断,防止二次转换类型
- 感谢 @ThumpBo 师傅提出的建议,增加了读取指定TXT批量扫描敏感文件的功能
-df并将扫描成功结果导出至dumpout.txt内 - 感谢 @YanXi9999 师傅的贡献,在读取指定TXT并批量信息泄露扫描过程中,去除重复页面提高效率
- 感谢 @VK2000 师傅,增加了部分
Dir.txt敏感端点爆破字典的内容 - 感谢 @WingBy-Fkalis 师傅,使用
aiohttp对批量信息泄露扫描进行并发处理,大大提高-uf参数的扫描速度 - 感谢由 @13exp 师傅友情制作GUI图形化版本
Contributors
ngc660sec, 13exp, and 7 other contributors