burpsuite插件——Struts2-RCE

最新推荐文章于 2024-04-04 09:49:51 发布
最新推荐文章于 2024-04-04 09:49:51 发布
阅读量726 收藏 1
点赞数
分类专栏: BurpSuite 文章标签: github 安全 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kris__zhang/article/details/113818919
版权

用于检查struts2 RCE漏洞的Burp扩展器
下载地址:
https://github.com/prakharathreya/Struts2-RCE
三、安装插件

1、将插件导入BurpSuite
在这里插入图片描述
2、选择下载好的插件
在这里插入图片描述
3、点击下一步
在这里插入图片描述
在这里插入图片描述
4、导入成功,菜单栏和右击项会多出两个选项
在这里插入图片描述
在这里插入图片描述
四、使用方法

1、访问可能存在漏洞的网址http://192.168.139.128:8080/showcase/,打开自带浏览器,拦截不用打开,BurpSuite有自动扫描功能
在这里插入图片描述
2、进入菜单Target项,全选contents,右击扫描漏洞
在这里插入图片描述
在这里插入图片描述
3、进入菜单Struts Finder查看扫描结果
在这里插入图片描述
4、目前支持的漏洞

S2-001

S2-007

S2-008

S2-012

S2-013

S2-014

S2-015

S2-016

S2-019

S2-029

S2-032

S2-033

S2-037

S2-045

S2-048

S2-053

S2-057

S2-DevMode

刘—手
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2 RCE 漏洞初探
small_whitehat的博客
03-03 482
Struts2 RCE 漏洞初探
BurpSuite使用的插件HaE-2.6.1.jar
最新发布
05-01
BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。 描述 此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是 S2-001 S2-007 S2-008 S2-012 S2-013 S2-014 S2-015 S2-016 S2-019 S2-029 S2-032 S2-033 S2-037 S2-045 S2-048 S2-053 S2-057 S2-DevMode 加载扩展 Burp Suite- > Extender- > Add- > Select the Struts.jar file- > Next. 一旦加载而没有任何错误,将在现有的burp实例中弹出一个新选项卡。 用法 只需右键单击所选请求,然后单击“检查S
BurpSuite插件 -- Struts2-RCE
qq_50854662的博客
09-24 474
​好遗憾,明明不想失去,却又无能为力,说真的,那种想放弃又想爱的滋味,真折磨人。。。。 ----  网易云热评 一、插件介绍 一个用于检查struts2 RCE漏洞的Burp扩展器   二、下载地址(插件作者:prakharathreya) https://github.com/prakharathreya/Struts2-RCE   三、安装插件 ...
一款检测Struts2 RCE漏洞的burp被动扫描插件-Struts2Burp
siu~
08-24 375
一款检测Struts2 RCE漏洞的burp被动扫描插件,仅检测url后缀为.do以及.action的数据包
BurpSuite插件 Struts2-RCE使用
不想当脚本小子的脚本小子
02-15 355
有道云笔记链接:http://note.youdao.com/noteshare?id=a080e661d6c199818ff90052185dbd39&sub=B8AFFBFA240147B3963094075DFFC4BF
burpsuite分块传输插件chunked-coding-converter.0.2.1.jar
01-25
burpsuite分块传输插件,一键生成分块传输请求,用于bypass waf等
burpsuite-community-windows-x64-v2023-12-1-3.exe
01-27
Burp Suite 社区版(burpsuite_community_windows-x64_v2023_12_1_3.exe) 适用于Windows系统。
Burp Suite 社区版(burpsuite_community_windows-x64_v2022_5_1.exe)
06-20
Burp Suite 社区版(burpsuite_community_windows-x64_v2022_5_1.exe)适用于Windows系统,Burpsuite用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的...
Struts2-057 两个版本RCE漏洞分析(含EXP)
mingyqf的博客
03-21 562
云影实验室 2018-08-27 10:15:02 485149 2 *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 前言 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。 该漏洞是由于在Struts2开发框架中使
Struts2简单入侵方法
kuxing100的专栏
07-10 1120
原文:http://page.renren.com/601190241/note/860441395 咳咳。。正题来了。上一篇文章基本都是抄别人的。。这篇文章自己写啦~猪头君让俺不要偷懒。于是菌菌就来更新啦!struts2执行漏洞的攻击方式也不外乎两种,手工和工具【嘿嘿嘿。。本文就先讲工具吧。工具永远是最简单的。。目前我见过的攻击工具有两个,一个是工具猫魔盒中的struts利用。
buuctf [ThinkPHP]2-Rce
qq_1873822的博客
03-14 667
ThinkPHP 2.1 poc ?s=/index/index/shell/${@phpinfo()} 拿到flag
【漏洞复现】[ThinkPHP]2-Rce
Mr_atopos的博客
05-22 703
在BUU上复现 [ThinkPHP]2-Rce
Struts2著名RCE漏洞引发的十年之思
weixin_34018169的博客
04-19 557
从2007年7月23日发布的第一个Struts2漏洞S2-001到2017年12月发布的最新漏洞S2-055,跨度足足有十年,而漏洞的个数也升至55个。分析了Struts2的这55个漏洞发现,基本上是RCE、XSS、CSRF、DOS、目录遍历和其他功能缺陷漏洞等等。本篇文章,重点关注威胁性较大的那些著名RCE漏洞,也是***们比较喜欢利用的。 要说著名RCE(远程代码执行)漏洞,Struts2框架...
【thinkphp漏洞复现】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1508
参考文章:https://blog.csdn.net/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
ThinkPHP2-RCE漏洞复现
qq_51459600的博客
06-08 1172
影响版本:PHP 5.2~5.6/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。
探索安全漏洞:揭秘《Struts2Burp》项目
gitblog_00074的博客
04-04 384
探索安全漏洞:揭秘《Struts2Burp》项目 项目地址:https://gitcode.com/x1a0t/Struts2Burp 项目简介 Struts2Burp 是一个专为Java Web开发框架Struts2设计的安全测试工具。它将流行的网络安全扫描工具Burp Suite与Struts2的特定漏洞检测相结合,帮助开发者和安全研究员在应用上线前发现并修复潜在的安全问题。 技术分析 Str...
burpsuit常用插件汇总
Thunderclap的博客
07-02 9189
burpsuit常用插件
能让你躺着挖洞的BurpSuite插件
tangshuangsss的专栏
08-04 2506
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介说躺有点夸张了哈,但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。插件列表:1.ShiroScan:被动发现Shiro反序列化漏洞 2.FastJsonScan:被动式FastJson检测插件 3.log4j2burpscanner:被动发现log4j2RCE漏...
如何用Burp Suite测试Content-Security-Policy漏洞
06-07
使用Burp Suite测试Content-Security-Policy(CSP)漏洞的步骤如下: 1. 启动Burp Suite并配置代理,以便将浏览器的流量发送到Burp。 2. 在浏览器中打开目标网站,并访问包含CSP策略的页面。 3. 在Burp Suite的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值