Releases: AabyssZG/SpringBoot-Scan
Releases · AabyssZG/SpringBoot-Scan
V2.7-欢度国庆佳节版
概述
祝各位师傅国庆快乐!现在说是不是太晚了点哈哈哈,没事祝大家都开开心心吧~
注:大家出行到人多的地方一定要戴口罩,这次国庆返程被流感传染上了,发高烧到40.5度,半夜挂医院急诊真难受啊X_X
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
读取目标TXT进行批量敏感文件扫描: python3 SpringBoot-Scan.py -df url.txt
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 感谢
@ez-lbz师傅提交的PR,添加支持CVE-2025-41243 Spring Cloud Gateway环境属性修改漏洞 - 感谢
@ez-lbz师傅提交的PR,完善了CVE-2022-22965因为攻击路由写死而可能引起的问题 - 感谢
@kn1g78师傅提交的PR,修复了端点扫描的若干BUG - 感谢
@ngc660sec师傅提交的PR,对于自定义请求头进行类型判断,防止二次转换类型 - 修复了工具流程处理上的若干Bug
致谢名单
- 感谢 @ez-lbz 师傅提交的PR,添加支持CVE-2025-41243 (Spring Cloud Gateway环境属性修改漏洞)
- 感谢 @kn1g78 师傅提交的PR,修复了端点扫描的若干BUG
- 感谢 @ngc660sec 师傅提交的PR,对于自定义请求头进行类型判断,防止二次转换类型
- 感谢 @ThumpBo 师傅提出的建议,增加了读取指定TXT批量扫描敏感文件的功能
-df并将扫描成功结果导出至dumpout.txt内 - 感谢 @YanXi9999 师傅的贡献,在读取指定TXT并批量信息泄露扫描过程中,去除重复页面提高效率
- 感谢 @VK2000 师傅,增加了部分
Dir.txt敏感端点爆破字典的内容 - 感谢 @WingBy-Fkalis 师傅,使用
aiohttp对批量信息泄露扫描进行并发处理,大大提高-uf参数的扫描速度 - 感谢由 @13exp 师傅友情制作GUI图形化版本
Contributors
ngc660sec, 13exp, and 6 other contributors
Assets 2
V2.6
概述
大家2025新年快乐~说的是不是有点晚了😂
最近抽空更新了一下,修了一些BUG,并新增了 -df 功能,给大家带来 蛇年新春贺岁版
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
读取目标TXT进行批量敏感文件扫描: python3 SpringBoot-Scan.py -df url.txt
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 感谢
@ThumpBo师傅提出的建议,增加了读取指定TXT批量扫描敏感文件的功能-df并将扫描成功结果导出至dumpout.txt内 - 对下载敏感文件的模块进行报错优化,将报错内容并入至
error.log - 感谢
@YanXi9999师傅的贡献,在读取指定TXT并批量信息泄露扫描过程中,去除重复页面提高效率
感谢
- 感谢 @ThumpBo 师傅提出的建议,增加了读取指定TXT批量扫描敏感文件的功能
-df并将扫描成功结果导出至dumpout.txt内 - 感谢 @YanXi9999 师傅的贡献,在读取指定TXT并批量信息泄露扫描过程中,去除重复页面提高效率
- 感谢 @VK2000 师傅,增加了部分
Dir.txt敏感端点爆破字典的内容 - 感谢 @WingBy-Fkalis 师傅,使用
aiohttp对批量信息泄露扫描进行并发处理,大大提高-uf参数的扫描速度 - 感谢由 @13exp 师傅友情制作GUI图形化版本
Contributors
13exp, VK2000, and 3 other contributors
Assets 2
V2.56
概述
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 修复了一个工具超时的Bug,在目录爆破
run.py/POC探测poc.py/漏洞利用vul.py这三个核心模块,新增全局变量outtime = 10可自由调整各模块HTTP访问超时时间 - 准备对一些
Issues提出的问题进行进一步的处理
V2.55
概述
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 根据 #13 对端点爆破模块进行优化,对页面进行Hash计算,如果发现页面Hash相同的情况就不导入到
urlout.txt - 准备对一些
Issues提出的问题进行进一步的处理
V2.54
概述
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 根据 #24 在目录爆破
run.py/POC探测poc.py/漏洞利用vul.py这三个核心模块,新增全局变量requests.timeout = 10可自由调整各模块HTTP访问超时时间 - 准备对一些
Issues提出的问题进行进一步的处理
V2.53
概述
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 优化了 #18 中
zy696师傅提出的CVE-2022-2947漏报的问题 - 优化了Spring资产识别的流程
- 准备对一些
Issues提出的问题进行进一步的处理
V2.52
概述
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 解决了
name 'u' is not defined的报错 - 优化了一些其他Bug
- 准备对一些
Issues提出的问题进行进一步的处理
V2.51-龙年新春贺岁版
概述
██╗ ██╗ █████╗ ██████╗ ██████╗ ██╗ ██╗ ███╗ ██╗███████╗██╗ ██╗██╗ ██╗███████╗ █████╗ ██████╗
██║ ██║██╔══██╗██╔══██╗██╔══██╗╚██╗ ██╔╝ ████╗ ██║██╔════╝██║ ██║╚██╗ ██╔╝██╔════╝██╔══██╗██╔══██╗
███████║███████║██████╔╝██████╔╝ ╚████╔╝ ██╔██╗ ██║█████╗ ██║ █╗ ██║ ╚████╔╝ █████╗ ███████║██████╔╝
██╔══██║██╔══██║██╔═══╝ ██╔═══╝ ╚██╔╝ ██║╚██╗██║██╔══╝ ██║███╗██║ ╚██╔╝ ██╔══╝ ██╔══██║██╔══██╗
██║ ██║██║ ██║██║ ██║ ██║ ██║ ╚████║███████╗╚███╔███╔╝ ██║ ███████╗██║ ██║██║ ██║
╚═╝ ╚═╝╚═╝ ╚═╝╚═╝ ╚═╝ ╚═╝ ╚═╝ ╚═══╝╚══════╝ ╚══╝╚══╝ ╚═╝ ╚══════╝╚═╝ ╚═╝╚═╝ ╚═╝
[+] SpringBoot-Scan V2.51-2024年 龙年新春贺岁版
光阴如梭,又是一年新春佳节,历经两百次的迭代更新,SpringBoot-Scan 在多场实战考验中战功赫赫,收获了1K多的Star~
元旦更新了 V2.40版本-龙年元旦贺岁版 ,年关将至,我们又更新了 V2.51版本-龙年新春贺岁版,对批量信息泄露扫描进行并发处理。感谢一路走来各位师傅给我的反馈和支持,祝各位师傅在新的一年事业有成、马到成功!
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 感谢
@Fkalis师傅,对批量信息泄露扫描进行并发处理,提高-uf参数的扫描速度 - 优化了相关的工作流,对部分冗余的代码进行优化
- 优化了输出提示,对部分内容的输出结果进行优化
- V2.51版本-龙年新春贺岁版专门进行了打包,可以直接用可执行文件进行操作啦~
V2.40-龙年元旦贺岁版
概述
██╗ ██╗ █████╗ ██████╗ ██████╗ ██╗ ██╗ ███╗ ██╗███████╗██╗ ██╗██╗ ██╗███████╗ █████╗ ██████╗
██║ ██║██╔══██╗██╔══██╗██╔══██╗╚██╗ ██╔╝ ████╗ ██║██╔════╝██║ ██║╚██╗ ██╔╝██╔════╝██╔══██╗██╔══██╗
███████║███████║██████╔╝██████╔╝ ╚████╔╝ ██╔██╗ ██║█████╗ ██║ █╗ ██║ ╚████╔╝ █████╗ ███████║██████╔╝
██╔══██║██╔══██║██╔═══╝ ██╔═══╝ ╚██╔╝ ██║╚██╗██║██╔══╝ ██║███╗██║ ╚██╔╝ ██╔══╝ ██╔══██║██╔══██╗
██║ ██║██║ ██║██║ ██║ ██║ ██║ ╚████║███████╗╚███╔███╔╝ ██║ ███████╗██║ ██║██║ ██║
╚═╝ ╚═╝╚═╝ ╚═╝╚═╝ ╚═╝ ╚═╝ ╚═╝ ╚═══╝╚══════╝ ╚══╝╚══╝ ╚═╝ ╚══════╝╚═╝ ╚═╝╚═╝ ╚═╝
[+] SpringBoot-Scan V2.40-2024年元旦贺岁版
光阴如梭,一年的时间眨眼就过去了,历经约两百次的迭代更新,SpringBoot-Scan 在多场实战考验中战功赫赫,收获了1K多的Star~
也非常凑巧,刚好在2024年的第一天,更新了 V2.4版本-龙年元旦贺岁版,感谢一路走来各位师傅给我的反馈和支持,祝各位师傅在新的一年事业有成、马到成功!
工具用法如下:
对单一URL进行信息泄露扫描: python3 SpringBoot-Scan.py -u http://example.com/
读取目标TXT进行批量信息泄露扫描: python3 SpringBoot-Scan.py -uf url.txt
对单一URL进行漏洞扫描: python3 SpringBoot-Scan.py -v http://example.com/
读取目标TXT进行批量漏洞扫描: python3 SpringBoot-Scan.py -vf url.txt
扫描并下载SpringBoot敏感文件: python3 SpringBoot-Scan.py -d http://example.com/
使用HTTP代理并自动进行连通性测试: python3 SpringBoot-Scan.py -p <代理IP:端口>
从TXT文件中导入自定义HTTP头部: python3 SpringBoot-Scan.py -t header.txt
通过ZoomEye密钥进行API下载数据: python3 SpringBoot-Scan.py -z <ZoomEye的API-KEY>
通过Fofa密钥进行API下载数据: python3 SpringBoot-Scan.py -f <Fofa的API-KEY>
通过Hunter密钥进行API下载数据: python3 SpringBoot-Scan.py -y <Hunter的API-KEY>
更新日志
- 新增支持多个参数自定义HTTP头部(请求头)进行操作,功能实现啦,快来试试吧~
- 优化了相关的工作流,增加特殊情况的一些应对方法
- V2.4版本-龙年元旦贺岁版专门进行了打包,可以直接用可执行文件进行操作啦~