第98篇:Struts2全版本漏洞检测工具19.32版本更新

于 2024-07-11 19:54:36 发布
阅读量308 收藏 9
点赞数 3
文章标签: struts java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/140367559
版权

50f049473dac33557b930ce2e0e2c1c4.png

 Part1 前言 

大家好,我是ABC_123。在8年前(2016年5月)使用netbeans依靠java语言编写了Struts2漏洞检测工具,期间一直不断更新,更新时间已达8年之久。现在ABC_123对于此工具的更新,更多是一种情怀,也是一种研究性实验性工作。目前Struts2框架在外网还能见到一些,在内网环境中仍然会遇到很多,于是它更多地成为了一个内网横向的漏洞选择。最近根据几个网友的反馈,对工具进行了几个重要更新,文末有漏洞检测工具的下载。

建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

86fa901695fcdaf93ec67b90e2a0d270.jpeg

 Part2 技术研究过程 

  • 新增自定义HTTP请求头功能

当前网站的鉴权方式除了Cookie,还存在JWT鉴权、HTTP Basic验证、HTTP请求头校验、Referer校验等等。因此,我重新封装了HTTP发包模块,使工具支持自定义多行HTTP请求头,程序会在每次发送请求上自动加上。

55d964ac4c0317bbdd0b4ab2b688548f.png

  • 优化S2框架的Log4j2漏洞的检测

此版本对功能的检测语句进行了更新,提升S2框架下Log4j2漏洞检测的准确度。我原本想做成添加dnslog配置文件进行自动化检测,但是考虑到现在的dnslog服务都不太稳定,而且dnslog经常容易被安全设备加入规则,所以放弃了自动化检测的想法,还是需要靠大家手工填写dnslog进行漏洞判断。

5ccb2045c631129fdf711d56f5511caf.png

  • 更正S2-048漏洞的检测逻辑

之前的S2-048漏洞的检测流程,还是有一些不完善的地方,所以我对检测语句进行了优化。

aedfa9898654bbd05e80caff2e0b7eeb.png

  • 新增S2-052漏洞利用

S2-052漏洞在代码审计或者一些情况下还是可以遇到的,只是这种漏洞基本上只能结合人工进行利用,工具很难实现自动化。所以我在这里提供了EXP生成功能,方便大家使用,对于S2-052漏洞的利用,请注意Content-Type: application/xml的部分,判断漏洞建议可以先ping dnslog一下,判断漏洞是否存在。

fa84fcdc53d69711e2821b9571cd9885.png

  • 新增S2-053漏洞利用

S2-053这个漏洞基本上很难实现自动化的检测与利用,在代码审计或者一些特殊情况下可以派上用场。所以我在这里也是提供了EXP生成功能,方便大家日常的渗透测试。

f4a9e322ff2f1af67cabecea4e0ea734.png

258070680c50eeeab7e45c2f04b785ec.png

关注公众号"希潭实验室”,回复“0711”,即可得到此版本Struts2漏洞检测工具的下载地址。

 Part3 总结 

1.  技术总是不断革新的,工具也需要跟着更新。

2.  对于工具有什么建议,欢迎公众号后台给我反馈或者在github上给我留言。

c2b55496029d50ce0be3647fae74de85.png

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

希潭实验室
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具
告白的博客
02-24 7018
Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行,
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
Struts2漏洞检查工具2017版
03-28
Struts2漏洞检测工具2017版增加S2-046,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为*权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
Struts2漏洞Struts2版本漏洞检测工具 v19.23 官方版
qq_21039641的博客
05-28 1409
Struts2版本漏洞检测工具是由ABC_123开发的一款可以检测并利用Struts2框架漏洞工具,可以检测漏洞的编号:S2-001、S2-005、S2-009、S2-013、S2-016、S2-016-2、S2-016-3、S2-019、S2-032、S2-037、S2-DevMode、S2-045-1、S2-045-3、S2-045-bypass、S2-048、S2-053、S2-057、S2-061、S2-062。并且在检测发现的基础上增加了漏洞利用。
第87篇:Struts2框架版本漏洞检测工具,原创发布(漏洞检测而非漏洞利用)...
ABC_123的博客
02-02 1419
Part1 前言大家好,我是ABC_123。在2016年时,很多Java应用网站都是基于Struts2框架开发的,因而Struts2的各个版本漏洞非常多,研发工具的初衷就是为了方便安测试人员快速寻找Struts2漏洞。在后期更新过程中,ABC_123尽可能把这款工具写得简单易用,哪怕对Struts2漏洞不懂的新手,也能快速帮助企业找到Struts2漏洞并进行修复。注:此前该工具一直在内...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
Struts2漏洞检查工具Struts2.2019.V2.3
Struts 2 版本漏洞检测工具 18.09 过waf版.jar
01-14
struts2版本检测,利用工具
网最Struts 2 版本漏洞检测工具,最新struts漏洞更新
04-18
版本漏洞检测工具可能包含了针对Struts 2不同版本漏洞检查模块,这些模块可能包括但不限于以下方面: 1. **OGNL漏洞扫描**:检测Struts 2应用中是否存在可被恶意利用的OGNL表达式,如未过滤的用户输入或不...
Struts 2 版本漏洞检测工具 18.09 过waf版
02-09
1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-033/037、DevMode、S2-045/046、S2-048、S2-053、S2-057十余种漏洞。 2、“批量验证”,...
Struts 2 版本漏洞检测工具
03-19
标题“Struts 2版本漏洞检测工具”表明存在一个专门针对Struts 2框架的漏洞扫描工具,用于检测各个版本Struts 2中存在的安问题。这个工具可能是2018年发布的一个版本,它能够帮助管理员和开发人员识别并修复...
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围===== S2-057 CVE-2018-11776 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 https://cwiki.apache.org/confluence/display/WW/S2-057 影响范围非常小 S2-048 CVE-2017-9791 Struts 2.3.X http://127.0.0.1:8090/struts2-showcase/integration/saveGangster.action 影响范围非常小 S2-046 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-046.html 和S2-045一样 S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大 S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小 S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小 S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小 S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般 S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内 S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内 S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
Struts2漏洞利用工具-可用于检测
08-01
直接输入出现漏洞的url即可攻击. 远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均构成完影响。建议大家升级最新jar包!
struts2 漏洞利用工具
07-15
struts2 struts2 漏洞利用工具
Struts2漏洞利用工具
03-20
Struts2是一个基于MVC设计模式的Web应用框架,但2存在远程代码执行的漏洞,现在Struts2漏洞检测工具2017版增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。需要此款Struts2漏洞检测工具的朋友可下载试试! 当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
Struts2版本漏洞检测工具 by:ABC_123
最新发布
qq_69670063的博客
06-06 271
struts2版本漏洞检测工具
struts2漏洞检查工具_某教程学习笔记(一):18、JSP漏洞
weixin_39723248的博客
11-26 474
小县城里的稳定工作,身边的三五好友,晚饭过后出去喝点小酒,聊聊人生,迷茫又安稳。。。---- 网易云热评一、Struts2漏洞1、在交互页面找到**.action页面2、打开K8 struts2,将目标地址放进去3、选择不同的漏洞获取信息,如下则存在漏洞,接着就可以文件上传了4、其他漏洞检测工具二、java反序列漏洞1、存在漏洞的jboss网站2、将地址复制到工具的目标地址栏,获取信息三、tomc...
st2版本漏洞检测java,Struts2版本漏洞利用复现(长期更新)
weixin_35647541的博客
03-10 1580
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担事情起因用靶场熟悉下Struts2的漏洞利用工具注意:单纯的使用工具不能加深对漏洞的理解,熟悉漏洞原理才是重点工具列举HatBoy大佬的Struts2-Scan,以扫描某S2-001靶场为例:鬼哥struts2(CVE-2013-2251)漏洞检测工具(90sec.org),同样以某S2-001靶场为例:Lucifer1993写的...
struts2版本漏洞检测工具19版本下载
07-21
对于struts2版本漏洞检测工具19版本的下载,请注意以下几点: 1. 首先,确保您的计算机和网络环境安可靠,防止下载和安装过程中出现恶意软件的传播。 2. 进入可信赖的软件下载网站,如官方网站或受信任的第三...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值