【漏扫工具】Struts Scan简介、下载、使用方法

最新推荐文章于 2024-08-08 08:31:53 发布
最新推荐文章于 2024-08-08 08:31:53 发布
阅读量1.3k 收藏 2
点赞数 3
分类专栏: 【工具】网络安全 文章标签: struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/124789325
版权

目录

一、简介:

二、系统

2.1、Windows

2.2、Linux

三、下载:

四、使用方法:

4.1、第一步:在文件夹中打开Windows powershell

4.2、第二步:终端运行struts-scan.exe URL

4.3、第三步:查看结果

一、简介:

Struts是流行和成熟的基于MVC设计模式的一个非常优秀Web应用程序框架。

它先是Jakarta项目的一个子项目,后来转为Apache软件基金会的一个子项目。

Struts1采用Servlet的机制处理用户请求。

Struts2是Struts的下一代产品,它以WebWork为核心,采用拦截器的机制处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts2可以理解为WebWork的更新产品。

二、系统

2.1、Windows

下载以后在终端直接运行这个加上命令

2.2、Linux

使用python运行这py脚本加上命令

三、下载:

GitHub下载:

Lucifer1993/struts-scan: Python2编写的struts2漏洞全版本检测和利用工具 (github.com)icon-default.png?t=M4ADhttps://github.com/Lucifer1993/struts-scan

四、使用方法:

​​本处介绍的是Windows的使用方法

如果是Linux的话,操作类似

只是在终端是使用(python struts-scan.py 目标URL)

4.1、第一步:在文件夹中打开Windows powershell

(如果使用命令提示符,就要进入到目录里面)

空白处点击右键

(如果没有,尝试按住shift再右键空白处)

4.2、第二步:终端运行struts-scan.exe URL

我输入的是:

.\struts-scan.exe http://baidu.com

4.3、第三步:查看结果

在文件夹中会输出扫描结果的文件

黑色地带(崛起)
关注
专栏目录
漏洞扫描工具Vulmap
qq_40907977的博客
11-19 4055
Vulmap是一款漏洞扫描工具, 可对Web容器、Web服务器、Web中间件以及CMS等Web程序进行漏洞扫描, 并且具备漏洞利用功能。相关测试人员可以使用vulmap检测目标是否存在特定漏洞, 并且可以使用漏洞利用功能验证漏洞是否真实存在。 Vulmap目前有漏洞扫描(poc)和漏洞利用(exp)模式, 使用"-m"选现指定使用哪个模式, 缺省则默认poc模式, 在poc模式中还支持"-f"批量目标扫描、"-o"文件输结果等主要功能, 更多功能参见Options或者python3 vulmap.py -
web安全渗透测试工具篇(一):快速发现漏洞漏洞综合扫描和联动
HACKONE的博客
05-24 302
Burpsuite,Awvs,Xray,Goby,Afrog,Yakit,Nuclei,Vulmap,Pocassist,Nessus,Pentestkit,Kunyu,Pocsuite3,浏览器各类插件,Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan,JScan等)。Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
Struts2-Scan:Struts2漏洞扫描利用工具
05-04
Struts2-Scan Struts2漏洞利用扫描工具,基于互联网上已经公开的Structs2高危漏洞exp的扫描利用工具,目前支持的漏洞如下: S2-001, S2-003, S2-005, S2-007, S2-008, S2-009, S2-012, S2-013, S2-015, S2-016, S2-019, S2-029, S2-032, S2-033, S2-037, S2-045, S2-046, S2-048, S2-052, S2-053, S2-devMode, S2-057 支持单个URL漏洞检测和批量URL检测,至此指定漏洞利用,可获取WEB路径,执行命令,反弹shell和上传文件,注意,并不是所有的漏洞均支持上述功能,只有部分功能支持 如有错误或者问题欢迎大家提问交流,一起解决 运行环境 Python3.6.X及其以上版本 第三方库: click, reque
Struts2系列漏洞利用工具-Struts2-Scan(二)
siu~
08-11 1423
Struts2漏洞扫描利用工具
Struts2-Scan 开源项目使用教程
最新发布
gitblog_01154的博客
08-08 246
Struts2-Scan 开源项目使用教程 Struts2-ScanStruts2漏洞扫描利用工具项目地址:https://gitcode.com/gh_mirrors/st/Struts2-Scan 1. 项目目录结构及介绍 在克隆https://github.com/HatBoy/Struts2-Scan.git后的项目目录中,你可以看到以下主要文件和文件夹: src - 存放项目的源代...
Struts工具
涛涛的专栏
01-10 1100
Struts开发――工具篇好多开发人员会抱怨Struts开发难,框架设计不好,受到现有好多框架(WebWork)的挑战,当然作为一个经典的MVC框架,并且有相当多的开发人员,Struts的开发有自己独到的优点,下面我们将看看如何去开发一个Struts应用,在这里我们拟定做一个留言版的应用,包含一些功能:注册用户、留言、查看、修改等等。1 业务原型流程:要了解业务
Struts2漏洞检查工具
02-14
struts2检查和利用工具
信息安全工程师(漏扫方向)面经
weixin_39811856的博客
03-02 625
1.linux下查看进程情况(例如我正在跑python脚本) ps -ef |grep "python3.7 0227_cgy_http_scan.py" cat /proc/107171/status 2.linux tcpdump抓包指定ip 截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信 tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 3.python字典的..
【Vulfocus解题复现】Struts2 S2-048 远程命令执行漏洞 (CVE-2017-9791)
温氏效应
09-04 3932
漏洞介绍 名称:Struts2 S2-048 远程命令执行漏洞 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。 解题过程 1、打开靶场环境 2、.
漏洞扫描工具MySQL_打造一款自动扫描全网漏洞扫描
weixin_39713833的博客
02-12 1600
本文作者:langzi在渗透测试中,扫描器必不可少,毕竟目标很多,需要检测点也很多,不可能全部手工搞定的,所以很多渗透者都有自己的自动化工具或者脚本,这里就为大家分享一款由我自己开发的一个自动化全网漏洞扫描工具扫描原理由 Python+Mysql 打造的扫描器,主要目的是实现自动化采集网站,扫描网站的常规性漏洞。希望做到挂机就能实现自动化发掘敏感情报,亦或是发现网站的漏洞或者隐藏可利用的漏洞软件...
python】打造一款自动扫描全网漏洞扫描
热门推荐
浪子燕青的博客
04-25 2万+
这是一款和刘老师一起写的网安类别扫描器。基本原理是由Python+Mysql搭建的扫描器,实现自动无限永久爬行采集网站链接,自动化漏洞扫描检测。目的是挂机就能实现自动化发掘敏感情报,亦或是发现网站的漏洞或者隐藏可利用的漏洞。     早在17年11月份的时候就有这个想法,可是一直没有去做,后来快到除夕前几天才正式开始整个软件工程的设计。当时的想实现的功能比较简单,就是能做到无限采集到网站使用的CM
struts扫描及利用工具(2018-11新版)
11-30
# struts-scan 快速检测struts命令执行漏洞,可批量。 # 运行环境 MAC/Linux下的Python2 # 支持对以下版本的检测 ST2-005 ST2-008 ST2-009 ST2-013 ST2-016 ST2-019 ST2-020 ST2-devmode ST2-032 ST2-033 ST2-037 ST2-045 ST2-046 ST2-048 ST2-052 ST2-053 ST2-057 # 使用 ![image](./images/poc.png) ![image](./images/exp.png) # 增加 [+]针对各版本的shell命令交互 [+]struts2-052检测(利用后面会加上) [+]struts2-053检测+利用(需要提供参数) [+]检测过程中输超时原因 [+]兼容HTTP/1.0,修复了struts-045检测不准确的问题 [+]struts2-046检测+利用 [+]修改struts2-048的payload [+]针对某些超时的情况,注释掉 httplib.HTTPConnection._http_vsn = 10 和httplib.HTTPConnection._http_vsn_str = 'HTTP/1.0'这两行再测试一遍,因为有的可能不支持HTTP/1.0的协议。 [+]增加linux和win的可执行文件,windows需要.NET环境。 [+]增加写入文件功能,针对有漏洞struts版本号会自动写入success.txt文件。 [+]增加struts2-057检测和利用,生产环境还没有找到可利用的例子,实属鸡肋的洞,参考https://github.com/Ivan1ee/struts2-057-exp。 # 特别说明 此工具仅限于漏洞验证,如若使用者引起相关的法律责任请自负,开发者不承担连带责任。
struts2漏洞扫描工具
08-10
struts2远程漏洞扫描工具
Struts2漏洞利用工具-可用于检测
08-01
直接输入漏洞的url即可攻击. 远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均构成完全影响。建议大家升级最新jar包!
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
struts2-scan 检测struts2漏洞,认证检测struts2漏洞
struts漏洞检测工具
11-08
struts2 漏洞检测工具 ,快速检测struts命令执行漏洞,可批量。运行环境要求:MAC/Linux下的Python2、Python3 。支持ST2-005,ST2-008,ST2-009,ST2-013,ST2-016,ST2-019,ST2-020,ST2-devmode,ST2-032,ST2-033,ST2-037,ST2-045,ST2-046,ST2-048,ST2-052,ST2-053,ST2-057的漏洞检测
项目推荐:Struts-Scan - 快速高效的安全扫描工具
gitblog_00010的博客
05-13 256
项目推荐:Struts-Scan - 快速高效的安全扫描工具 项目地址:https://gitcode.com/Lucifer1993/struts-scan 1、项目介绍 Struts-Scan 是一个专为检测Apache Struts框架存在的命令执行漏洞而设计的开源工具。它能够在MAC/Linux环境下以Python2运行,可批量检测多个已知的Struts漏洞,并提供了详细的检测过程反馈,帮...
在线web漏洞扫描工具_Struts2Scan 一款全漏洞扫描利用工具
weixin_39695672的博客
12-16 2344
Struts2漏洞利用扫描工具,基于互联网上已经公开的Structs2高危漏洞exp的扫描利用工具,目前支持的漏洞如下: S2-001, S2-003, S2-005, S2-007, S2-008, S2-009, S2-012, S2-013, S2-015, S2-016, S2-019, S2-029, S2-032, S2-033, S2-037, S2-045, S2-046...
struts2漏洞检查工具_这些年,我们一起玩过的漏洞利用神器
weixin_39624716的博客
11-26 2835
现在,也许我们所认为的漏洞利用工具神器,十年后,又该会是什么样子呢?可能大概就像我们现在看到以前的啊d注入工具的样子吧。近几日,我忽然思考这样一个问题:如果一种漏洞类型,让你推荐一款与之强相关的漏洞利用神器,你会怎么推荐?下面,我来分享一下我心里的答案,推荐几款我认为的漏洞利用神器,欢迎各位来一起补充。1、SQL注入漏洞推荐项目:SQLmap,项目地址:http://sqlmap.org/推荐理由...
Struts1.x文件下载问题与解决方法
"关于Struts框架的文件下载方法" 在Java Web开发中,Struts是一个非常流行的MVC(Model-View-Controller)框架,用于构建基于J2EE的应用程序。本资源主要关注的是如何在Struts1.x版本中实现文件下载功能。 在尝试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值