burpsuite插件——Struts2-RCE

最新推荐文章于 2025-10-21 12:00:00 发布
原创 最新推荐文章于 2025-10-21 12:00:00 发布 · 951 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#github #安全 #安全漏洞 #信息安全

本文介绍了如何利用Burp Suite的扩展器Struts2-RCE来检测Struts2远程代码执行(RCE)漏洞。该扩展支持多种Struts2漏洞的扫描,包括S2-001到S2-057等。用户只需下载插件,导入Burp Suite,然后针对目标网址进行扫描,即可在菜单的StrutsFinder中查看扫描结果。

用于检查struts2 RCE漏洞的Burp扩展器
下载地址:
https://github.com/prakharathreya/Struts2-RCE
三、安装插件

1、将插件导入BurpSuite
在这里插入图片描述
2、选择下载好的插件
在这里插入图片描述
3、点击下一步
在这里插入图片描述
在这里插入图片描述
4、导入成功,菜单栏和右击项会多出两个选项
在这里插入图片描述
在这里插入图片描述
四、使用方法

1、访问可能存在漏洞的网址http://192.168.139.128:8080/showcase/,打开自带浏览器,拦截不用打开,BurpSuite有自动扫描功能

最低0.47元/天 解锁文章
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。 描述 此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是 S2-001 S2-007 S2-008 S2-012 S2-013 S2-014 S2-015 S2-016 S2-019 S2-029 S2-032 S2-033 S2-037 S2-045 S2-048 S2-053 S2-057 S2-DevMode 加载扩展 Burp Suite- > Extender- > Add- > Select the Struts.jar file- > Next. 一旦加载而没有任何错误,将在现有的burp实例中弹出一个新选项卡。 用法 只需右键单击所选请求,然后单击“检查S
web安全渗透测试工具篇(一):快速发现漏洞之漏洞综合扫描和联动
HACKONE的博客
05-24 1142
Burpsuite,Awvs,Xray,Goby,Afrog,Yakit,Nuclei,Vulmap,Pocassist,Nessus,Pentestkit,Kunyu,Pocsuite3,浏览器各类插件Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan,JScan等)。Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
BurpSuite插件 -- Struts2-RCE
qq_50854662的博客
09-24 594
​好遗憾,明明不想失去,却又无能为力,说真的,那种想放弃又想爱的滋味,真折磨人。。。。 ----  网易云热评 一、插件介绍 一个用于检查struts2 RCE漏洞的Burp扩展器   二、下载地址(插件作者:prakharathreya) https://github.com/prakharathreya/Struts2-RCE   三、安装插件 ...
一款检测Struts2 RCE漏洞的burp被动扫描插件-Struts2Burp(一)
SuperherRo的博客
08-24 749
一款检测Struts2 RCE漏洞的burp被动扫描插件,仅检测url后缀为.do以及.action的数据包
PostCSS量查询插件:`postcss-quantity-queries`使用指南
gitblog_00094的博客
06-23 307
PostCSS量查询插件:postcss-quantity-queries使用指南 本指南基于GitHub上的开源项目postcss-quantity-queries,旨在帮助开发者理解并应用这个用于处理CSS中元素数量相关查询的PostCSS插件。 1. 项目目录结构及介绍 项目的基本目录结构简洁明了,以下是对主要文件夹和文件的简介: .gitattributes, .gitignore, ...
Struts2 RCE 漏洞初探
small_whitehat的博客
03-03 838
Struts2 RCE 漏洞初探
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6520
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1568
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
Java安全日志分析:10种方法+3大陷阱,如何从日志中挖掘致命漏洞?
最新发布
java专栏
10-21 1560
摘要: Java安全日志分析是防御漏洞的关键环节,需采用10种核心方法:从日志收集(Logback/ELK)、实时监控(Prometheus)到威胁建模(OWASP)和机器学习检测。注意三大陷阱:敏感信息泄露、存储不安全及过度依赖工具。通过案例(如Struts2漏洞)演示如何从日志提取攻击特征并修复。最终建议遵循"全细准"日志原则,结合自动化与人工审计,并定期攻防演练,构建AI驱动的智能分析体系。(150字) 关键词: Java安全、日志分析、漏洞检测、实时监控、机器学习、合规审计
Struts2漏洞扫描 Burp插件-ST2Scanner(二)
SuperherRo的博客
10-26 389
Struts2漏洞扫描 Burp插件
BurpSuite插件 Struts2-RCE使用
不想当脚本小子的脚本小子
02-15 435
有道云笔记链接:http://note.youdao.com/noteshare?id=a080e661d6c199818ff90052185dbd39&sub=B8AFFBFA240147B3963094075DFFC4BF
Struts2-057 两个版本RCE漏洞分析(含EXP)
mingyqf的博客
03-21 701
云影实验室 2018-08-27 10:15:02 485149 2 *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 前言 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。 该漏洞是由于在Struts2开发框架中使
Burp suite2 (泷羽sec)
m0_68984471的博客
12-12 924
Burp suite2 (泷羽sec)
CVE与重要漏洞复现之Struts2漏洞S2-001
没有网络安全就没有国家安全
03-17 511
CVE与重要漏洞复现之Struts2漏洞S2-001
Struts2简单入侵方法
kuxing100的专栏
07-10 1196
原文:http://page.renren.com/601190241/note/860441395 咳咳。。正题来了。上一篇文章基本都是抄别人的。。这篇文章自己写啦~猪头君让俺不要偷懒。于是菌菌就来更新啦!struts2执行漏洞的攻击方式也不外乎两种,手工和工具【嘿嘿嘿。。本文就先讲工具吧。工具永远是最简单的。。目前我见过的攻击工具有两个,一个是工具猫魔盒中的struts利用。
buuctf [ThinkPHP]2-Rce
qq_1873822的博客
03-14 874
ThinkPHP 2.1 poc ?s=/index/index/shell/${@phpinfo()} 拿到flag
【漏洞复现】[ThinkPHP]2-Rce
Mr_atopos的博客
05-22 960
在BUU上复现 [ThinkPHP]2-Rce
Struts2著名RCE漏洞引发的十年之思
weixin_34018169的博客
04-19 1879
2007年7月23日发布的第一个Struts2漏洞S2-001到2017年12月发布的最新漏洞S2-055,跨度足足有十年,而漏洞的个数也升至55个。分析了Struts2的这55个漏洞发现,基本上是RCE、XSS、CSRF、DOS、目录遍历和其他功能缺陷漏洞等等。本篇文章,重点关注威胁性较大的那些著名RCE漏洞,也是***们比较喜欢利用的。 要说著名RCE(远程代码执行)漏洞,Struts2框架...
【thinkphp漏洞复现】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1874
参考文章:https://blog.youkuaiyun.com/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
利用Burp Extender检测Struts 2 RCE漏洞
Struts2-RCE插件的具体用法是将扩展加载到Burp Suite中,这是一种广泛使用的Web应用程序安全测试工具。加载该插件后,用户可以利用Burp Suite的图形界面进行漏洞扫描和验证。在描述中提到的加载步骤包括在Burp Suite...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值