s2 安恒 漏洞验证工具_s2-045漏洞批量检测工具

最新推荐文章于 2024-05-28 15:06:17 发布
最新推荐文章于 2024-05-28 15:06:17 发布
阅读量488 收藏
点赞数
文章标签: s2 安恒 漏洞验证工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39713219/article/details/111723692
版权
本文介绍了一个用于验证S2-045漏洞的批量检测工具,该工具支持自定义关键词并采用Bing搜索引擎获取目标URL,通过执行特定命令来判断是否存在漏洞。工具提供了Python版本,同时也打包了Windows版exe文件。使用时需注意关键词txt文件的UTF-8编码,依赖于requests和beautifulsoup4库。
摘要由CSDN通过智能技术生成

今天晚上看老铁们在群里就这个st2-045漏洞讨论得火热,个人不太喜欢日站,本来想直接写个批量挂马的东西,但是想想还是算了,如果你有兴趣,改改也很容易,反正不关我的事

测试图

2017-3-8更新

增加了对.do关键词的支持,并且支持任何关键词了,之前我只考虑到了.action关键词并且写死了规则,py版本已经更新,win版的exe未更新,需要的自行用pyinstaller打包为exe

之前采用whoami如果返回200状态码就判断存在漏洞,但是现在很多已经修复了,导致访问之后依旧会跳到正常页面返回200状态码,于是我改了一下判断,执行命令echo xxxx,如果返回结果中含有xxxx就证明漏洞存在

win版exe已经打包

重要:建议大家都使用py版本,经过群友测试,exe版本对中文关键词的支持不太好,会出现错误,如果使用上有问题可评论

exe版本会出现扫描过慢的情况,强烈建议py版本,鉴于有些朋友说不会配置python环境,我在下面给出了例子

有些朋友说自定义关键字字典出错,这里要提一句,你的字典txt的编码需要是utf-8,有些东西因为写的比较快没考虑太全,见谅

依赖包的安装

//首先你需要安装一个python,在安装图中记得把有pip的选项和add python to path类似的选项勾选上,然后安装完成后执行pytho

最低0.47元/天 解锁文章
weixin_39713219
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
s2 安恒 漏洞验证工具_Struts2 部分漏洞复现
weixin_39945679的博客
01-02 977
s2-061已经复现过了,低版本漏洞可以使用k8哥哥和安恒工具完成检测和写马,就不再做复现了,当然也可以使用漏扫去发现漏洞s2-059漏洞描述:攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终造成远程代码执行的影响。影响版本:Struts 2.0.0 – Struts 2.5.2...
s2 安恒 漏洞验证工具_黑盒扫描工具简介
weixin_30327815的博客
12-29 2614
一、Web扫描1、WebInspect国外商业级。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描,您可以快速而准确地自动执行 Web 应用程序安全测试和 ...
s2-045漏洞批量检测工具
ai74583的博客
03-07 377
今天晚上看老铁们在群里就这个st2-045漏洞讨论得火热,个人不太喜欢日站,本来想直接写个批量挂马的东西,但是想想还是算了,如果你有兴趣,改改也很容易,反正不关我的事 测试图 2017-3-8更新 增加了对.do关键词的支持,并且支持任何关键词了,之前我只考虑到了.action关键词并且写死了规则,py版本已经更新,win版的exe未更新,需要的自行用pyinstaller打包为e...
【Struts2漏洞】Struts2全版本漏洞检测工具 v19.23 官方版
最新发布
qq_21039641的博客
05-28 1260
Struts2全版本漏洞检测工具是由ABC_123开发的一款可以检测并利用Struts2框架漏洞工具,可以检测漏洞的编号:S2-001、S2-005、S2-009、S2-013、S2-016、S2-016-2、S2-016-3、S2-019、S2-032、S2-037、S2-DevMode、S2-045-1、S2-045-3、S2-045-bypass、S2-048、S2-053、S2-057、S2-061、S2-062。并且在检测发现的基础上增加了漏洞利用。
s2-045远程代码执行漏洞复现(工具打)
weixin_50495345的博客
04-11 416
这篇文章只写漏洞复现过程,需要详解漏洞原理的小伙伴请自行查找喔。使用ubuntu(192.168.8.135)下docker搭建vulhub漏洞环境使用steuts2全系列漏洞检测工具漏洞进行检测和复现(工具可以自行去github.com下载
mac与windows下各自的md5、sha1、sha256命令行校验工具
weixin_44027937的博客
01-20 3535
mac下: md5: openssl md5 1.txt 或者:md5 1.txt sha1: openssl sha1 1.txt sha256: openssl sha256 1.txt windows下: md5: certutil -hashfile 1.txt md5 sha1: certutil -hashfile 1.txt sha1 sha256: certutil -hashfile 1.txt sha256
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
1. **自动检测**:工具能自动化检测Weblogic服务器是否存在CVE-2017-10271漏洞,通过模拟攻击过程来验证服务器的易感性。 2. **漏洞评估**:提供详细的漏洞评估报告,包括服务器的版本信息、是否受漏洞影响以及可能...
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Struts2漏洞利用工具2019版 V2.3.zip
02-24
Struts2漏洞利用工具2019版 V2.3. Struts2漏洞检测工具,请勿非法攻击他人网站,安恒大佬的作品
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
J1anfen 创建的 "shiro_attack_by J1anfen" 工具就是为了检测和验证这种漏洞的存在。 该工具包含一个可运行的 JAR 文件,用户可以直接运行它来对目标系统进行测试。这可能包括模拟恶意序列化数据的生成、发送到目标...
struts漏洞检测工具
11-08
struts2 漏洞检测工具 ,快速检测struts命令执行漏洞,可批量。运行环境要求:MAC/Linux下的Python2、Python3 。支持ST2-005,ST2-008,ST2-009,ST2-013,ST2-016,ST2-019,ST2-020,ST2-devmode,ST2-032,ST2-033,ST2-037...
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围===== S2-057 CVE-2018-11776 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 https://cwiki.apache.org/confluence/display/WW/S2-057 影响范围非常小 S2-048 CVE-2017-9791 Struts 2.3.X http://127.0.0.1:8090/struts2-showcase/integration/saveGangster.action 影响范围非常小 S2-046 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-046.html 和S2-045一样 S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大 S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小 S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小 S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小 S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般 S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内 S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内 S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
Struts 2 全版本漏洞检测工具 18.09 过waf版
02-09
使用说明: 1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-033/037、DevMode、S2-045/046、S2-048、S2-053、S2-057十余种漏洞。 2、“批量验证”,同时检测.......几种漏洞(为防止批量geshell,此功能已经永久删除,并不再开发)。 3、S2-020、S2-021仅提供漏洞扫描功能,因漏洞测试方法很大几率造成网站访问异常,本程序未提供。 4、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。 5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。 9、每次操作都启用一个线程,防止界面卡死。
Struts2漏洞检查工具2018版
09-05
Struts2漏洞检查工具2018版,带最新的漏洞检查,方便使用。目前支持一键检测Struts2漏洞
Struts2漏洞检查工具2018版.zip
10-08
struts2漏洞exp利用工具, 2018-08-24: 增加S2-057 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 此漏洞影响范围非常小,要求配置条件比较苛刻,同时,一些特定版本没有看到有沙盒绕过,说以,目前exp只是基于S2-045改写的,所以exp并不是所有版本都能用,正常情况下Struts 2.3.5-2.3.31,Struts 2.5-2.5.10版本可以使用此exp。 2017-07-07: 增加S2-048 Struts 2.3.X 支持检查官方示例struts2-showcase应用的代码执行漏洞,参考地址:http://127.0.0.1:8080/struts2-showcase/integration/saveGangster.action 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。http://struts.apache.org/docs/s2-046.html 2017-03-07: 增加安恒信息研究员nike.zheng发现的S2-045,jakatar处理复杂数据类型时,异常处理不当,导致OGNL代码执行,通过在请求的Content-Type头中构造OGNL表达式来执行Java代码。http://struts.apache.org/docs/s2-045.html 2016-04-26: 增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加复杂数据包(multipart/form-data)提交方式进行漏洞利用,可绕过部分防护。可执行命令,暂时无法上传文件。 2014-11-12: 最近遇到s19这个debug模式开启导致代码执行,这个有点少,但还是有一些,为了方便大家把13版本修改了一下。可以利用这个漏洞执行命令、上传shell。
struts2漏洞批量检查
oscarli的博客
11-21 5573
检查代码来自 Lucifer。#!/usr/bin/env python # coding=utf-8 # code by Lucifer # Date 2017/10/12 import sys import base64 import warnings import requests from termcolor import cprint warnings.filterwarnings("
技术分析 | Struts2 S2-048漏洞:跟踪攻击趋势,成功检测防御
weixin_33888907的博客
07-10 437
7月7日,Apache Struts官方发布了漏洞编号为:S2-048的高危漏洞公告。 阿里云安全团队2小时内发布官方安全建议,跟踪S2-048的全球攻击趋势,并对不同漏洞版本进行了对比分析。 目前,阿里云云盾态势感知已支持检测,WAF默认支持防御。 一、影响范围 如果在ApacheStruts 2.3.x系列中启用了struts2-struts1-...
[ 新出漏洞篇 ] 核弹级漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)
qq_51577576的博客
12-16 4969
Log4j2相信大家不陌生了~~~哈哈哈哈。 相信大家已经被 Log4j2 的重大漏洞刷屏了。几乎没有互联网公司幸免。 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了。 估计也有不少安全圈的大佬靠着这个漏洞买房买车了~~~ 你~~~赶上了吗? 每每出现这种重大漏洞,开发岗的大佬们---苦逼,安全岗的大佬们---过年。哈哈哈哈 今天勒,我们就来聊一下 Log4j2 到底是个什么鬼 ? Log4j远程代码执行漏洞详解 中华人民共和国网络安全法 第二十七条 任何个人和.
struts2漏洞利用率工具 安恒内部版
11-17
struts2漏洞利用率工具安恒内部开发的一款工具,主要用于检测和利用struts2框架中的漏洞。该工具可以帮助安全研究人员和安全工程师快速、准确地发现和利用struts2框架中存在的漏洞,从而及时修复和加固系统的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值