YYBaby Spring Scan —— 强大的 Spring & SpringBoot 漏洞扫描工具
🔍 工具简介
YYBaby Spring Scan(春天大宝贝)是一款专门针对 Spring & SpringBoot 框架的安全检测工具,能够快速识别 敏感信息泄露、API 暴露、远程命令执行(RCE)、反弹 Shell、内存马注入 等安全风险。
本工具集成了大量已知漏洞的检测与利用方式,包括但不限于:
- CVE-2014-3578
- CVE-2018-1259
- CVE-2019-3778
- CVE-2020-5410
- CVE-2021-21234
- CVE-2022-22947
- CVE-2022-22963
- CVE-2024-22243
- Spring_ShutDown_RCE
此外,YYBaby Spring Scan 还支持 heapdump 文件解析,可以在实战中快速提取敏感信息,极大提高渗透测试与应急响应的效率。
🚀 主要功能
✅ Spring & SpringBoot 漏洞扫描
- 一键检测 SpringBoot 配置泄露、swagger API 暴露。
- 兼容 FastJson / Log4j2 相关漏洞的探测。
🔥 漏洞利用
- 支持 命令执行(RCE)、反弹 Shell、内存马注入。
- 内置 Godzilla、CMD、Netty 内存马功能,快速隐匿持久化。
🛡 内置 POC & EXP
- 内置 25+ POC(漏洞验证)
- 内置 5+ 反弹 VPS 利用方式
🏆 高效多线程扫描
- 默认支持 3 线程并发扫描,极大提高检测速度。
- 支持代理功能,便于绕过 WAF / IDS 进行测试。
📂 HeapDump 内存分析
- 自动化关键字提取,快速识别 数据库连接、JWT Token、SSH 密钥 等敏感信息。
📌 使用方法
1️⃣ 运行环境
YYBaby Spring Scan 依赖 Java 8+,确保你的环境已安装 Java 运行时。
2️⃣ 启动工具
GUI 模式(双击运行)
直接双击 YYBaby_v1.0_Spring_Scan.jar 运行。
CLI 模式(命令行运行)
java -jar YYBaby_v1.0_Spring_Scan.jar
🛠 更新日志
- v1.0.0(2025/03/04):
- 支持 SpringBoot 敏感信息泄露检测。
- 内置 FastJson/Log4j2 探测。
- 新增 YAML_RCE、H2_Database_JNDI 利用方式。
- 优化 CVE-2022-22947、CVE-2024-22243 利用方式。
- 支持多线程扫描 & 代理功能。
📥 下载地址
点击这里下载 YYBaby Spring Scan 🚀
⚠ 免责声明
本工具仅限于安全研究与授权测试,请勿用于未授权的渗透测试,否则后果自负。
🎯 YYBaby Spring Scan,让你的 Spring & SpringBoot 安全检测更加高效!
)
