【vulhub】struts2漏洞集合工具复现

最新推荐文章于 2024-05-28 15:06:17 发布
最新推荐文章于 2024-05-28 15:06:17 发布
阅读量554 收藏 2
点赞数
分类专栏: vulhub 文章标签: struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/115984295
版权

struts2漏洞太多了,以至于我去了解了一下,好家伙几十个漏洞。就直接不想动了,这里我就直接搭建了一个危害比较大的漏洞S2-045

docker-compose up -d

在这里插入图片描述

然后struts2检测工具直接扫描。成功检测出来。

在这里插入图片描述
话不多说,直接上传马

在这里插入图片描述
连接成功
在这里插入图片描述
在这里插入图片描述

其他

这里还是要说下,struts2的根目录在

/usr/src/src/main/webapp

可以看到webshell成功写入
在这里插入图片描述

参考文章:
史上最全Struts2 漏洞复现合集(上)
史上最全Struts 2 漏洞复现合集(下)

樱浅沐冰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2漏洞利用工具2019版 V2.3.zip
09-11
"Struts2漏洞利用工具2019版 V2.3.zip" 是一个针对这些安全漏洞的检测和利用工具,用于帮助安全研究人员和系统管理员识别和修Struts2框架的安全问题。 首先,Struts2框架的最著名的漏洞之一是S2-045,这是一个...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
"Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修Struts2框架中的安全问题。 Struts2的安全漏洞主要包括以下几类: 1. OGNL(Object-...
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
Struts 2 全版本漏洞检测工具
[ vulhub漏洞篇 ] vulhub 漏洞集合(含漏洞文章连接)
热门推荐
qq_51577576的博客
09-21 1万+
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部,欢迎持续订阅 我也会不定期再中间更新文章链接 目的:以 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者
Struts2漏洞Struts2全版本漏洞检测工具 v19.23 官方版
最新发布
qq_21039641的博客
05-28 1280
Struts2全版本漏洞检测工具是由ABC_123开发的一款可以检测并利用Struts2框架漏洞工具,可以检测漏洞的编号:S2-001、S2-005、S2-009、S2-013、S2-016、S2-016-2、S2-016-3、S2-019、S2-032、S2-037、S2-DevMode、S2-045-1、S2-045-3、S2-045-bypass、S2-048、S2-053、S2-057、S2-061、S2-062。并且在检测发的基础上增加了漏洞利用。
[Vulhub] ThinkPHP漏洞合集
weixin_45605352的博客
05-11 2423
0x01 环境 攻击机:kali linux,Windows 10 x64 靶机:XXE(下载链接https://www.vulnhub.com/entry/xxe-lab-1,254/) 网络设置:均为桥接模式 0x02 漏洞 主机发&端口扫描 先确定靶机ip地址,这里用arp-scan -l命令探测内网: 发靶机地址为192.168.43.228,接下来用nmap -sV -p- 192.168.43.228 扫描一下: -sV:探测端口服务版本;-p:指定端口;-v:显示扫描过
Vulhub漏洞系列:Couchdb漏洞(CVE-2017-12635、CVE-2017-12636)
weixin_43072923的博客
05-24 1532
Vulhub漏洞系列:Couchdb漏洞(CVE-2017-12635、CVE-2017-12636)00.前言01.Couchdb简介02.漏洞描述03.漏洞 00.前言 这篇文章将对该漏洞进行简介并,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺ 01.Couchdb简介 CouchDB是一个利用JSON文件来存贮数据,javascript作为MapReduce查询,以及常规HTTP作为API的且面向文档的开源数据库管理系统。 02.漏洞描述 0x01:CVE-2017
vulhub漏洞二十_GitList
weixin_44193247的博客
01-30 985
vulhub漏洞练习篇
Struts2漏洞检查工具2018版.rar
03-31
描述中提到的"Struts2各版本漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围====...
Struts2系列漏洞利用工具-Struts2VulsTools(一)
siu~
08-11 970
Struts2系列漏洞检查工具
Struts2系列漏洞利用工具-Struts2-Scan(二)
siu~
08-11 1382
Struts2全漏洞扫描利用工具
Struts2框架漏洞总结与(上) 含Struts2检测工具
剁椒鱼头没剁椒的博客
02-06 7009
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。
网络安全---渗透测试---框架漏洞-ThinkPHP5.0、Struts2
weixin_52796034的博客
11-05 838
反弹shell(Reverse Shell)是一种计算机安全和网络攻击技术,通常被用于与远程目标系统建立命令行交互式连接。这个连接允许攻击者在远程系统上执行命令,获取系统访问权限,以及进行横向移动和数据操作。反弹shell的工作方式如下:攻击者和目标系统之间建立连接:通常,攻击者首先在目标系统上部署一个恶意程序(例如Trojan或后门),该程序会与攻击者的控制服务器建立连接。目标系统反弹连接:一旦恶意程序在目标系统上执行,它会尝试与攻击者的控制服务器建立连接。
第87篇:Struts2框架全版本漏洞检测工具,原创发布(漏洞检测而非漏洞利用)...
ABC_123的博客
02-02 1388
Part1 前言大家好,我是ABC_123。在2016年时,很多Java应用网站都是基于Struts2框架开发的,因而Struts2的各个版本的漏洞非常多,研发工具的初衷就是为了方便安全测试人员快速寻找Struts2漏洞。在后期更新过程中,ABC_123尽可能把这款工具写得简单易用,哪怕对Struts2漏洞完全不懂的新手,也能快速帮助企业找到Struts2漏洞并进行修。注:此前该工具一直在内...
Struts2系列漏洞利用工具-Struts2全版本漏洞检测工具(三)
siu~
09-21 2837
Struts2系列漏洞利用工具
Struts2 远程代码执行漏洞(附Struts2漏洞检测工具
告白的博客
02-24 6924
Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行,
(二)vulhub专栏:Shiro漏洞汇总
云舒的博客
06-03 1887
Shiro漏洞汇总
struts2漏洞
09-02
Struts2漏洞的过程大致可以分为两个步骤,根据引用内容和可以总结如下: 1. 利用远程命令执行漏洞(S2-032)进行漏洞: - 打开测试靶场网站,访问其中的index.action路径。 - 利用包含‘${}’和‘%{}’...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值