Struts2系列漏洞利用工具-Struts2全版本漏洞检测工具(三)

已于 2024-04-18 12:00:22 修改
阅读量5.4k 收藏 5
点赞数 6
分类专栏: # Struts2系列漏洞工具 文章标签: Struts2
于 2023-09-21 16:35:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/133136122
版权

项目地址
https://github.com/abc123info/Struts2VulsScanTools
在这里插入图片描述

1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。

2、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)。

3、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。

4、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。

5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。

6、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交)

7、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。

8、每次操作都启用一个线程,防止界面卡死。

警告:该工具为漏洞自查工具,仅用来扫描及验证网站存在的Struts2漏洞,并可以协助管理员修复网站漏洞,也可用作授权的渗透测试,但严禁用于非授权的渗透测试、严禁用于攻击他人网站、严禁用于非法途径,否则后果自负。

使用说明
releases下载jar文件双击打开即可

使用vulhub启用一个s2-046漏洞靶场
在这里插入图片描述
直接URL扔工具帮检测
在这里插入图片描述

Struts2漏洞Struts2版本漏洞检测工具 v19.23 官方版
qq_21039641的博客
05-28 1884
Struts2版本漏洞检测工具是由ABC_123开发的一款可以检测并利用Struts2框架漏洞工具,可以检测漏洞的编号:S2-001、S2-005、S2-009、S2-013、S2-016、S2-016-2、S2-016-3、S2-019、S2-032、S2-037、S2-DevMode、S2-045-1、S2-045-3、S2-045-bypass、S2-048、S2-053、S2-057、S2-061、S2-062。并且在检测发现的基础上增加了漏洞利用
工具分享 | Struts2-Scan - 一款Struts2系列漏洞利用工具,Strusts一键getshell,护网必备,漏洞挖掘必备,SRC挖掘必备。
IT软件汇
09-17 384
工具分享 | Struts2-Scan - 一款Struts2系列漏洞利用工具,Strusts一键getshell,护网必备,漏洞挖掘必备,SRC挖掘必备。
struts2 漏洞利用工具.rar
05-30
struts2 漏洞利用工具,监测是否含有struts2漏洞工具
Struts2漏洞利用工具-可用于检测
08-01
直接输入出现漏洞的url即可攻击. 远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均构成完影响。建议大家升级最新jar包!
Struts2框架下Log4j2漏洞检测方法分析与总结
最新发布
A1_3_9_7的博客
04-08 865
Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能。目前通用的做法就是使用burpsuite插件进行被动扫描,原理就是把所有与用户交互参数都用各种log4j2检测payload测试一遍,然后观察DNSlog中有没有访问记录。这个漏洞检测方法和SQL注入、XSS漏洞有点像,常规方法很难完发现漏洞,有时候就连研发人员自己也搞不清楚哪些应用功能点调用了log4j2
Struts2漏洞利用工具
02-14
直接输入出现漏洞的url即可攻击. 远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均构成完影响。建议大家升级最新jar包!
Struts2漏洞利用工具2017版
02-06
Struts2漏洞利用工具2017版,包含s2-032、037、019、016、045、046
Struts2漏洞检查工具2017版
03-28
Struts2漏洞检测工具2017版增加S2-046,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为*权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
Struts2漏洞检查工具
02-14
struts2检查和利用工具
Struts2系列漏洞利用工具-Struts2VulsTools()
SuperherRo的博客
08-11 1461
Struts2系列漏洞检查工具
Struts2系列漏洞利用工具-Struts2版本漏洞检测工具(),附下载链接。
白帽子黑客SuperherRo
09-30 370
Struts2版本漏洞检测工具
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
Struts2漏洞检查工具Struts2.2019.V2.3
Struts2漏洞检查工具2018版 V2.1.exe
01-12
Struts2漏洞检查工具2018版 V2.1. Struts2漏洞检查工具2018版 V2.1.2018 级以前所有序列号动都有 支持cookies 批量检测
Struts2漏洞检查工具2018版.zip
10-08
struts2漏洞exp利用工具2018-08-24: 增加S2-057 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 此漏洞影响范围非常小,要求配置条件比较苛刻,同时,一些特定版本没有看到有沙盒绕过,说以,目前exp只是基于S2-045改写的,所以exp并不是所有版本都能用,正常情况下Struts 2.3.5-2.3.31,Struts 2.5-2.5.10版本可以使用此exp。 2017-07-07: 增加S2-048 Struts 2.3.X 支持检查官方示例struts2-showcase应用的代码执行漏洞,参考地址:http://127.0.0.1:8080/struts2-showcase/integration/saveGangster.action 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。http://struts.apache.org/docs/s2-046.html 2017-03-07: 增加安恒信息研究员nike.zheng发现的S2-045,jakatar处理复杂数据类型时,异常处理不当,导致OGNL代码执行,通过在请求的Content-Type头中构造OGNL表达式来执行Java代码。http://struts.apache.org/docs/s2-045.html 2016-04-26: 增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加复杂数据包(multipart/form-data)提交方式进行漏洞利用,可绕过部分防护。可执行命令,暂时无法上传文件。 2014-11-12: 最近遇到s19这个debug模式开启导致代码执行,这个有点少,但还是有一些,为了方便大家把13版本修改了一下。可以利用这个漏洞执行命令、上传shell。
Struts2漏洞利用工具2016版 32.zip
03-07
Struts2漏洞利用工具,喜欢的朋友来下载
【护网必备】最新Struts2版本漏洞检测工具
Fly_鹏程万里
06-03 1357
运行工具后点击“检测漏洞”会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞2、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。1、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)
Struts2系列漏洞利用工具-Struts2VulsTools(),附下载链接。
白帽子黑客SuperherRo
09-30 254
Struts2系列漏洞检查工具
网最Struts 2 版本漏洞检测工具,最新struts漏洞更新
04-18
版本漏洞检测工具可能包含了针对Struts 2不同版本漏洞检查模块,这些模块可能包括但不限于以下方面: 1. **OGNL漏洞扫描**:检测Struts 2应用中是否存在可被恶意利用的OGNL表达式,如未过滤的用户输入或不...
struts 2漏洞检测工具
01-01
### 关于Struts 2漏洞扫描工具 对于检测Struts 2框架中的安漏洞,存在多种工具可供选择。这些工具不仅能够识别已知的安缺陷,还提供了不同程度上的自动化测试能力。 #### 工具一:Struts2-Scan 这是一个面覆盖Struts 2系列漏洞的扫描与利用工具,支持广泛的漏洞列表,并且持续更新以适应新发现的风险点[^1]。该工具的特点在于其易于使用的界面以及详细的报告生成功能,帮助开发者快速定位潜在威胁所在的位置。 ```bash # 使用Struts2-Scan进行基本扫描命令示例 java -jar struts2-scan.jar http://example.com/ ``` #### 工具二:Struts2版本漏洞检测工具v19.23官方版 由特定团队开发维护的一个专门针对Struts 2不同版本中存在的多个具体CVE编号对应漏洞进行探测的应用程序。除了常规的漏洞查找外,此款软件也集成了部分漏洞的实际攻击验证功能,在合法授权范围内可用于渗透测试环境下的深入研究[^2]。 ```bash # 启动Struts2版本漏洞检测工具的方式(假设为Windows平台) Struts2Scanner.exe -u "http://targetwebsite.com" ``` #### 工具:Python编写的Struts2Scan脚本 来自开源社区贡献者的作品之一,它同样致力于解决Apache Struts 2应用程序可能遭遇的各种安隐患问题。相较于其他同类产品而言,这款基于Python语言实现的小型实用程序更加灵活多变,允许使用者自定义配置参数来满足个性化需求[^3]。 ```python from struts2scan import Scanner scanner = Scanner(target="http://sampleapp.local") results = scanner.run() print(results) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值