├── 20220408004036.png
├── 20220408114012.png
├── README.md
└── Spring4ShellScan-1.0.jar


/20220408004036.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/coffeehb/Spring4Shell/9237492e1aa47f1238eea1fecfe9d6f3a659f05f/20220408004036.png


--------------------------------------------------------------------------------
/20220408114012.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/coffeehb/Spring4Shell/9237492e1aa47f1238eea1fecfe9d6f3a659f05f/20220408114012.png


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
 1 | # Spring4ShellScan
 2 | 一个Spring4Shell【CVE-2022-22965】 被动式检测的Burp插件。
 3 | 
 4 | 为什么需要造这个轮子？？因为这个漏洞黑盒较难发现，没有具体的业务路径，有了路径没有其他的参数都有可能难以触发到。
 5 | 同时Burp也是我们常用的工具，抓着包做安全测试时顺带覆盖这种漏洞。
 6 | 
 7 | 安利yakit的MITM也支持这个漏洞检测：https://github.com/yaklang/yakit
 8 | 
 9 | ## 检测理论依据
10 | 
11 | 在参数的KEY中插入以下2个POC时，会触发业务行为不一致。
12 | 通常来说：
13 | class.module.classLoader.URLs[a0]=  ,抛出500异常
14 | class.module.classLoader.URLs[0]= ，不会抛出500异常，和上面的请求返回行为极有可能是不一致的。
15 | 
16 | ## 实现思路：
17 | 
18 | 给所有Body，URL的参数中以这2个POC，多插入一个KEY，判断两个POC插入后返回的请求响应码 和 返回内容是不是一致。如果不一致，则抛出告警。【todo: 还可以在返回500时，对内容进行关键字匹配】
19 | 
20 | ## 靶机测试
21 | 感谢FofaX官方交流群的@官方提醒 的靶机
22 | 
23 | 自己搭建源码：`https://github.com/spring-petclinic/spring-framework-petclinic`
24 | 
25 | ![avatar](20220408004036.png)
26 | 
27 | ## 关于误报漏报
28 | 
29 | 目前测试是发现有误报的，因为判断条件是这样的：
30 | - 条件1 满足两次响应码 和响应内容不一致就报错
31 | - 条件2 两次中某次返回内容出现关键字：org.springframework.validation.DataBinder
32 | ```
33 | // 判断是否存在漏洞
34 | 
35 |                     if (status_code != req1_statuscode && !responseBody.equals(req1_body)){
36 |                         hasIssue = true;
37 |                     }
38 | 
39 |                     if(req1_body.contains(FoundErrorKey) || responseBody.contains(FoundErrorKey)){
40 |                         hasIssue = true;
41 |                     }
42 | ```
43 | 
44 | 漏报情况：
45 |     触发了被动式测试，基于这个判断条件，在Spring + JDK 9.0以上 + Tomcat 应该是没有漏报
46 | 
47 | ## 关于确认发出去的请求
48 | 
49 | 在插件Logger++里面，通过Comment找req1 和req2 如下: 
50 | ![avatar](20220408114012.png)
51 | 


--------------------------------------------------------------------------------
/Spring4ShellScan-1.0.jar:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/coffeehb/Spring4Shell/9237492e1aa47f1238eea1fecfe9d6f3a659f05f/Spring4ShellScan-1.0.jar


--------------------------------------------------------------------------------