扫描Struts2+利用

已于 2023-09-01 11:20:27 修改
阅读量177 收藏 1
点赞数 1
分类专栏: 漏扫 文章标签: 网络安全
于 2023-07-17 15:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NSQ0207/article/details/131767820
版权
在Kali系统中启动后,通过浏览器访问IP地址8080端口。接着,操作Struts框架来启动并扫描安全漏洞。用户可以上传文件至特定目录,此过程涉及一个URL,该URL用于在网站上上传木马文件,以此模拟或测试系统安全性。
摘要由CSDN通过智能技术生成

 kali:

启动

 浏览器:输入ip:8080

Struts:

启动Strusts

扫描漏洞

点击上传到指定目录,上传程序,会有一个url,进入网站上传木马文件

Serein_NSQ
关注
专栏目录
struts扫描利用工具(2018-11新版)
11-30
# struts-scan 快速检测struts命令执行漏洞,可批量。 # 运行环境 MAC/Linux下的Python2 # 支持对以下版本的检测 ST2-005 ST2-008 ST2-009 ST2-013 ST2-016 ST2-019 ST2-020 ST2-devmode ST2-032 ST2-033 ST2-037 ST2-045 ST2-046 ST2-048 ST2-052 ST2-053 ST2-057 # 使用 ![image](./images/poc.png) ![image](./images/exp.png) # 增加 [+]针对各版本的shell命令交互 [+]struts2-052检测(利用后面会加上) [+]struts2-053检测+利用(需要提供参数) [+]检测过程中输出超时原因 [+]兼容HTTP/1.0,修复了struts-045检测不准确的问题 [+]struts2-046检测+利用 [+]修改struts2-048的payload [+]针对某些超时的情况,注释掉 httplib.HTTPConnection._http_vsn = 10 和httplib.HTTPConnection._http_vsn_str = 'HTTP/1.0'这两行再测试一遍,因为有的可能不支持HTTP/1.0的协议。 [+]增加linux和win的可执行文件,windows需要.NET环境。 [+]增加写入文件功能,针对有漏洞的struts版本号会自动写入success.txt文件。 [+]增加struts2-057检测和利用,生产环境还没有找到可利用的例子,实属鸡肋的洞,参考https://github.com/Ivan1ee/struts2-057-exp。 # 特别说明 此工具仅限于漏洞验证,如若使用者引起相关的法律责任请自负,开发者不承担连带责任。
struts2漏洞扫描工具
08-10
struts2远程漏洞扫描工具
探索Struts2Scan:强大的Struts2安全扫描工具
gitblog_00074的博客
04-07 384
探索Struts2Scan:强大的Struts2安全扫描工具 去发现同类优质开源项目:https://gitcode.com/ 在Web开发的世界中,安全性是至关重要的议题。Struts2Scan是一个开源项目,由Vancomycin-g创建,专门用于检测Apache Struts2框架中的安全隐患。本文将详细介绍该项目,分析其技术原理,探讨其用途和特性,以期吸引更多开发者加入并使用。 项目简介 ...
Struts2系列漏洞利用工具-Struts2-Scan(二),附下载链接。
最新发布
白帽子黑客SuperherRo
09-30 393
Struts2全漏洞扫描利用工具
Struts2系列漏洞利用工具-Struts2-Scan(二)
siu~
08-11 1461
Struts2全漏洞扫描利用工具
项目推荐:Struts-Scan - 快速高效的安全扫描工具
gitblog_00010的博客
05-13 269
项目推荐:Struts-Scan - 快速高效的安全扫描工具 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 Struts-Scan 是一个专为检测Apache Struts框架存在的命令执行漏洞而设计的开源工具。它能够在MAC/Linux环境下以Python2运行,可批量检测多个已知的Struts漏洞,并提供了详细的检测过程反馈,帮助安全研究人员或运维人员迅速定位...
学校宿舍管理系统(Struts2+JSP+DAO)
12-01
【学校宿舍管理系统(Struts2+JSP+DAO)】是一个典型的Web应用程序,它结合了Struts2框架、JavaServer Pages(JSP)以及Data Access Object(DAO)模式,旨在高效地管理和维护学校的宿舍资源。这个系统的核心是通过...
struts2 + spring + mybatis 注解开发
05-19
在这个项目中,我们利用Struts2作为表现层框架,Spring3.0作为控制层和持久层的管理工具,而Mybatis则作为数据访问层的实现。现在,我们将深入探讨这三大框架的注解开发方式。 **Struts2框架注解** Struts2是基于...
Struts2+Hibernate+Spring整合开发深入剖析与范例应用03
10-25
3. 配置Struts2:设置Struts2的配置文件,定义Action类,这些Action类通常是Spring管理的Bean,这样可以利用Spring的依赖注入功能。 4. 配置Struts2-Spring插件:这个插件允许Struts2的动作类直接在Spring容器中...
Struts2+Spring+Hibernate集成开发环境的配置小例子
08-24
5. **整合SSH2**:在Struts2的Action类中注入Spring管理的Bean,这样就可以利用Spring的IoC和AOP特性。同时,通过HibernateTemplate或Session接口进行数据操作。 6. **测试**:编写测试用例,检查各个框架是否正常...
工具分享 | Struts2-Scan - 一款Struts2系列漏洞利用工具,Strusts一键getshell,护网必备,漏洞挖掘必备,SRC挖掘必备。
IT软件汇
09-17 234
工具分享 | Struts2-Scan - 一款Struts2系列漏洞利用工具,Strusts一键getshell,护网必备,漏洞挖掘必备,SRC挖掘必备。
Struts2漏洞利用工具-可用于检测
08-01
直接输入出现漏洞的url即可攻击. 远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均构成完全影响。建议大家升级最新jar包!
Struts2-ScanEN:这是来自的翻译项目
04-08
来自以下项目的翻译项目: : Struts2扫描 Struts2漏洞利用扫描工具基于Internet上已发布的Structs2高风险漏洞exp的扫描利用工具,当前支持的漏洞如下:S2-001,S2-003,S2-005,S2-007, S2-008,S2-009,S2-012,S2-013,S2-015,S2-016,S2-019,S2-029,S2-032,S2-033,S2-037,S2-045,S2- 046,S2-048,S2-052,S2-053,S2-devMode,S2-057 支持单个URL漏洞检测和批量URL检测,到目前为止,指定漏洞利用后,您可以获取WEB路径,执行命令,反向Shell和上载文件。 请注意,并非所有漏洞都支持上述功能,仅支持某些功能 如果有错误或问题,请提出问题和交流,并共同解决 操作环境 Python3.6.X及更高版本 第三方库:点击,请求,b
Struts2介绍(一个大的工具库)
~~~~~~~~~~~~
03-10 1876
Struts2介绍      Struts2是Struts的第二代产品,以WebWork为核心,采用拦截器的机制处理用户请求,使业务逻辑控制器能与Servlet API完全脱离。Struts1采用Servlet的机制处理用户请求。      Struts 2框架的所有类都基于接口,核心接口独立于HTTP。Struts 2配置文件中的大多数配置元素都会有默认值,有助于减少在XML文件中需要进行的
Struts2系列漏洞利用工具-Struts2VulsTools(一)
siu~
08-11 1149
Struts2系列漏洞检查工具
Struts2系列漏洞利用工具-Struts2全版本漏洞检测工具(三)
siu~
09-21 3789
Struts2系列漏洞利用工具
struts2综合漏洞扫描工具
热门推荐
qq_51478862的博客
04-16 1万+
python扫描工具更新2022-4-16 1.添加了S2-062漏洞利用 其实是对S2-061漏洞的绕过 支持命令执行,Linux反弹shell,windows反弹shell。 2.解决了了Windows反弹shell的功能 底层原理:解决了有效负载Runtime.getRuntime().exec()执行复杂windows命令 不成功的问题。 详情文章:https://www.yuque.com/docs/share/0abe4b7e-45fd-4902-a23a-ad51ab72cbb9?# 《使用j
一款检测Struts2 RCE漏洞的burp被动扫描插件-Struts2Burp
siu~
08-24 480
一款检测Struts2 RCE漏洞的burp被动扫描插件,仅检测url后缀为.do以及.action的数据包
Python实现Struts2漏洞扫描利用工具
资源摘要信息:"基于Python的Struts2全漏洞扫描利用工具设计源码" 该工具的主要知识点可以分为以下几个方面: 1. Python语言基础:由于该工具是基于Python语言开发的,因此首先需要掌握Python的基础知识。Python是...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值