struts2 漏洞测试工具

最新推荐文章于 2025-07-18 21:45:04 发布
原创 最新推荐文章于 2025-07-18 21:45:04 发布 · 1.7w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了一次服务器遭受 Struts2 远程代码执行漏洞攻击的经历,包括 S2-016、S2-013、S2-009 和 S2-005 漏洞的利用过程,并分享了使用相关工具进行测试的方法。
实在是没办法啊,服务器又被黑了。
上传了很多木马jsp 文件。尝试了一下,居然可以管理服务器内部文件。
我们项目使用的struts2 2.3.12 ,不能幸免的的被黑了。

Struts2 远程代码执行漏洞利用工具 bulid 20130720
[+] S2-016 CVE-2013-225   支持GetShell/获取物理路径/执行CMD命令

[+] S2-013 CVE-2013-1966  支持GetShell/获取物理路径/执行CMD命令

[+] S2-009 CVE-2011-3923  支持GetShell/获取物理路径/执行CMD命令

[+] S2-005 CVE-2010-1870  支持GetShell/获取详细信息/执行CMD命令
实在是郁闷啊。
http://struts.apache.org/release/2.3.x/docs/s2-016.html。
来看看官方的说明吧。
然后再来看看牛B的大神们的工具吧。这叫一个牛B.
拿着大神的工具,然后测试自己的项目。日。上传文件成功了。
好吧。服务器成功被入侵了。
其中,我的工具就是在这儿下载的。



我的更多文章:
Struts2漏洞】Struts2全版本漏洞检测工具 v19.23 官方版
qq_21039641的博客
05-28 1988
Struts2全版本漏洞检测工具是由ABC_123开发的一款可以检测并利用Struts2框架漏洞的工具,可以检测漏洞的编号:S2-001、S2-005、S2-009、S2-013、S2-016、S2-016-2、S2-016-3、S2-019、S2-032、S2-037、S2-DevMode、S2-045-1、S2-045-3、S2-045-bypass、S2-048、S2-053、S2-057、S2-061、S2-062。并且在检测发现的基础上增加了漏洞利用。
Struts2漏洞检查工具2017版
03-28
Struts2漏洞检测工具2017版增加S2-046,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为*权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
Struts2漏洞检查工具Struts2.2019.V2.3
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
Struts2全版本漏洞检测工具再次升级 一键检测十余种漏洞|开源工具介绍
atwlw的博客
07-18 266
摘要:针对Struts2框架频繁爆出漏洞且检测工具不准确的问题,ABC_123开发了一款简单易用的漏洞检测工具。该工具支持检测S2系列十余种常见漏洞,具备GET/POST/UPLOAD三种请求方式,并优化了命令执行和上传功能的通用性。为避免风险,工具已移除批量验证功能,且不提供可能造成网站异常的S2-020/021漏洞利用。现公开原版代码供安全研究使用,解决用户对第三方工具安全性的担忧。工具采用多线程设计,支持Cookie设置和编码转换,适合各层次安全人员使用。
Struts2漏洞检查工具2017版.zip
07-24
警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! Struts2漏洞检查工具2017版 V2.0 by 安恒信息应急响应中心。支持S2-032,S2-037,S2-016,S2-019,S2-045,S2-046,S2-048漏洞验证。有对漏洞的命令执行功能、文件上传功能。还有批量验证功能。增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。增加S2-048 Struts 2.3.X,支持检查官方示例struts2-showcase应用的代码执行漏洞。增加安恒信息研究员nike.zheng发现的S2-045。jakatar处理复杂数据类型时,异常处理不当,导致OGNL代码执行,通过在请求的Content-Type头中构造OGNL表达式来执行Java代码。
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围===== S2-057 CVE-2018-11776 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 https://cwiki.apache.org/confluence/display/WW/S2-057 影响范围非常小 S2-048 CVE-2017-9791 Struts 2.3.X http://127.0.0.1:8090/struts2-showcase/integration/saveGangster.action 影响范围非常小 S2-046 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-046.html 和S2-045一样 S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大 S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小 S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小 S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小 S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般 S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内 S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内 S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
Struts2漏洞检查工具2018版 V2.1.exe
01-12
Struts2漏洞检查工具2018版 V2.1. Struts2漏洞检查工具2018版 V2.1.2018 级以前所有序列号动都有 支持cookies 批量检测
Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具
告白的博客
02-24 8306
Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行,
【护网必备】最新Struts2全版本漏洞检测工具
Fly_鹏程万里
06-03 1622
运行工具后点击“检测漏洞”会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。2、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。1、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)
Struts2系列漏洞利用工具-Struts2全版本漏洞检测工具(三)
SuperherRo的博客
09-21 6488
Struts2系列漏洞利用工具
struts2综合漏洞扫描工具
热门推荐
qq_51478862的博客
04-16 1万+
python扫描工具更新2022-4-16 1.添加了S2-062漏洞利用 其实是对S2-061漏洞的绕过 支持命令执行,Linux反弹shell,windows反弹shell。 2.解决了了Windows反弹shell的功能 底层原理:解决了有效负载Runtime.getRuntime().exec()执行复杂windows命令 不成功的问题。 详情文章:https://www.yuque.com/docs/share/0abe4b7e-45fd-4902-a23a-ad51ab72cbb9?# 《使用j
Struts2漏洞检查工具
02-14
struts2检查和利用工具
Struts2漏洞检查工具2018版.exe
11-26
truts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测 亲测好用,大家快来下载吧
struts2漏洞检测工具
03-21
struts2漏洞检测工具
一款可检测Struts2全网漏洞且含EXP工具
小司机的奥拓
07-09 1371
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
Struts2漏洞测试工具
最新发布
07-23
Struts2系列漏洞测试工具
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞。 Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...
struts 2漏洞检测工具
01-01
### 关于Struts 2漏洞扫描工具 对于检测Struts 2框架中的安全漏洞,存在多种工具可供选择。这些工具不仅能够识别已知的安全缺陷,还提供了不同程度上的自动化测试能力。 #### 工具一:Struts2-Scan 这是一个全面覆盖Struts 2系列漏洞的扫描与利用工具,支持广泛的漏洞列表,并且持续更新以适应新发现的风险点[^1]。该工具的特点在于其易于使用的界面以及详细的报告生成功能,帮助开发者快速定位潜在威胁所在的位置。 ```bash # 使用Struts2-Scan进行基本扫描命令示例 java -jar struts2-scan.jar http://example.com/ ``` #### 工具二:Struts2全版本漏洞检测工具v19.23官方版 由特定团队开发维护的一个专门针对Struts 2不同版本中存在的多个具体CVE编号对应漏洞进行探测的应用程序。除了常规的漏洞查找外,此款软件也集成了部分漏洞的实际攻击验证功能,在合法授权范围内可用于渗透测试环境下的深入研究[^2]。 ```bash # 启动Struts2全版本漏洞检测工具的方式(假设为Windows平台) Struts2Scanner.exe -u "http://targetwebsite.com" ``` #### 工具三:Python编写的Struts2Scan脚本 来自开源社区贡献者的作品之一,它同样致力于解决Apache Struts 2应用程序可能遭遇的各种安全隐患问题。相较于其他同类产品而言,这款基于Python语言实现的小型实用程序更加灵活多变,允许使用者自定义配置参数来满足个性化需求[^3]。 ```python from struts2scan import Scanner scanner = Scanner(target="http://sampleapp.local") results = scanner.run() print(results) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值