Struts2识别与漏洞利用

最新推荐文章于 2024-05-31 18:19:08 发布
最新推荐文章于 2024-05-31 18:19:08 发布
阅读量2.3k 收藏 5
点赞数
分类专栏: 初学者常见问题 文章标签: struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43873557/article/details/113702530
版权
本文介绍了Struts2框架的安全问题,特别是S2-045漏洞,该漏洞可能导致远程代码执行,影响Struts 2.3.5至2.3.31及2.5至2.5.10版本。内容包括漏洞识别、危害分析以及利用方法,涉及上传webshell和执行系统命令等。
摘要由CSDN通过智能技术生成

Struts2框架识别 (1)
通过网页后缀来进行判断,如.do或者.action在这里插入图片描述
➢ Struts2漏洞验证在这里插入图片描述
➢ Struts2- - 045漏洞介绍
安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架—
—Struts2存在远程代码执行的严重漏洞;(漏洞编号S2-045,CVE编号:cve-2017-
5638),并定级为高风险,影响版本范围为Struts 2.3.5 – Struts 2.3.31和
Struts 2.5 – Struts 2.5.10。

➢ Struts2- - 045漏洞危害
在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被
黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触
发该漏洞,进而执行系统命令。

➢ Struts2- - 045漏洞利用(上传 webshell)在这里插入图片描述
➢ Struts2- - 045漏洞利用(执行命令)
随意上传一个文件并抓包
修改Content-Type为以下连接里的内容:
https://cowtransfer.com/s/a6e776cdde6d45在这里插入图片描述

低头观自在
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2 漏洞利用工具.rar
06-15
本压缩包"struts2 漏洞利用工具.rar"显然是为了帮助安全研究人员或系统管理员识别和测试Struts2框架中的漏洞。 在Struts2的生命周期中,一个关键的漏洞是CVE-2017-5638,通常被称为S2-045或"Struts Shatter"漏洞。...
为什么我不挖SRC赚外快?SRC漏洞挖掘(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
04-11 2337
有好几个粉丝问过我一个相同的问题,为什么你不去挖src赚外快。首先我一句,不管是什么行业,什么工种,都存在二八定律的。2013-2018年期间,除了工作之外,我有大部分的时间在挖漏洞赚外快,这5年多的时间里,我有得到过最高单个漏洞5000美金的奖励,在国内外漏洞赏金平台提交的大大小小漏洞加起来总的奖金也并不是很多,大概在十几万人民币左右吧,但提交漏洞的总数还是满恐怖的,因为有些src平台账号密码都忘记了,我现在也不好做精确的统计,毛估有1000+个漏洞了吧,其中被审核忽略的差不多占了2-3成。
第2篇:区分Spring与Struts2框架的几种新方法
ABC_123的博客
04-10 2689
Part1前言在近几年的HW比赛、红队项目中,攻击队在外围打点时,越来越依赖于对Java站点的漏洞挖掘。Java站点的主流框架大致就是两个:Struts2系列(包括Webwork等)及Spring系列(包括Spring MVC、SpringBoot等)。很多攻击队员在查找网站漏洞时,由于无法判断出网站所使用的框架,对于.do结尾的网站上去就是用Struts2工具、Spri.........
struts2漏洞工具_Struts2 漏洞集合_零开始黑客入门教程
最新发布
2401_84915584的博客
05-31 682
总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做
常用框架学习(一)——Struts2
热门推荐
不忘初心的博客
06-14 2万+
1.1  Struts2概述1.1.1  什么是Struts2Struts2是由Apache社区的Struts1和Opensysmphony的Webwork整合而来,Struts负责对http请求的处理,Webwork负责业务逻辑处理。1.1.2 运行环境搭建1.导入13个jar包(在Struts2自带的demo中可以找到最少所需包)2.需要在web.xml文件中配置StrutsPrepareAn...
Struts2框架理解
Grace
05-08 5680
在学习Struts2之前我们先来了解一下什么是Struts2,先从宏观一步步深入理解struts2的框架模式。      定义:          Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。Struts2的使用非常简单。      特点:        我们已经知道什么是Struts2是什么,Struts2使用非常简单,为什么会让我们感觉很简单呢?来看一下
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9467
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
Struts2框架介绍及其漏洞实战
永不垂头的博客
08-12 307
Struts2框架介绍及其漏洞实战 一、Struts2框架介绍 Struts介绍: Mvc框架 来源于webwork2,与1不兼容 运行环境是web容器 可多人协同,适合复杂可拓展到web应用 用的ognl为表达式引擎 Xwork为struts2底层核心 二、安装struts2、nmap、goby 安装nmap 参考:https://blog.csdn.net/meyo_leo/article/details/77918511 安装goby 三、Goby介绍: 这里以扫描web靶机为例进行
Struts2漏洞利用工具2017版
02-06
这个2017版的Struts2漏洞利用工具,旨在帮助安全专业人员测试他们的系统是否易受这些已知漏洞的影响。通过运行这些工具,他们可以模拟攻击,发现脆弱点,并采取相应的补救措施。使用此类工具时,必须确保遵循合法的...
Struts2漏洞检查工具2018版.rar
03-31
描述中提到的"Struts2各版本漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...
Struts2漏洞利用工具Devmode版
10-26
总之,"Struts2漏洞利用工具Devmode版"是网络安全领域的重要工具,它帮助我们识别并解决Struts2框架的潜在风险,提升系统的安全性。了解和掌握这种工具的使用方法,对于任何负责维护基于Struts2的Web应用的人员来说...
Struts2多版本一次性检测工具
11-03
Struts2多版本一次性检测工具 Struts2多版本一次性检测工具 Struts2多版本一次性检测工具
Struts2漏洞检测(带自己编写使用说明一看就上手)
05-04
Struts2漏洞检测(带自己编写使用说明一看就上手),IP地址段批量端口扫描
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
struts2测试工具
09-26
具体做什么用的,忘记了,各位随意下载~~~~~~~~~~~~~~~~~~~~~不知道什么鬼策略,莫名把下载积分提了这么高.~~~
Struts2漏洞利用工具2019版 V2.3.zip
09-11
"Struts2漏洞利用工具2019版 V2.3.zip" 是一个针对这些安全漏洞的检测和利用工具,用于帮助安全研究人员和系统管理员识别和修复Struts2框架的安全问题。 首先,Struts2框架的最著名的漏洞之一是S2-045,这是一个...
java struts2 框架 入门简介
whatday的专栏
08-29 1611
目录 一、Struts2框架执行流程 二、Struts2的快速入门 1.导入jar包 2.配置web.xml文件 3.配置struts.xml文件 4.创建Action来完成逻辑操作 三、Struts2配置详解 Struts2配置文件加载顺序 struts.xml文件配置介绍 package配置 action配置 result配置 扩展 常量配置 四、Struts2的Action详解 Action类创建方式(三种) Action的访问方式 五、Struts2框架封装数据
Webshell篇
08-22 473
常用方法简介: 一、0day拿webshell 参考工具:织梦漏洞利用小工具 二、通过注入漏洞拿Webshell 前提条件:具有足够权限,对写入木马的文件夹要有写入权限,知道网站绝对路径。 对于mssql注入漏洞,网站可以通过log备份、差异备份拿Webshell 对于mysql注入漏洞的网站可以通过into file函数将一句话木马写入,拿Webshell。...
指纹识别
jpygx123的博客
11-13 3518
系统指纹识别   方式一: 通过TCP/IP数据包发到目标主机,由于每个操作系统类型对于处理TCP/IP数据包都不相同,所以可以通过之间的差别判定操作系统类型 识别方法:nmap -sS -Pn -O ip nmap识别操作系统是通过端口识别的,也就是说在识别操作系统的时候不能使用-sn(不识别端口)。   方式二:端口服务识别 每个操作系统都有特有的服务和端口,如: w...
struts2全版本漏洞检测工具 天融信
08-04
天融信是一家信息安全解决方案提供商,其开发了一款名为"struts2全版本漏洞检测工具"的产品。 该工具主要用于检测struts2框架在不同版本中存在的漏洞,并帮助用户及时发现和修复这些漏洞,保护应用程序免受潜在攻击的威胁。 该工具的主要特点包括: 1. 兼容性:能够检测struts2框架的各个版本,无论是旧版还是最新版,都能够进行全面的漏洞检测。 2. 自动化:能够通过自动化的方式扫描应用程序中的struts2漏洞,无需人工逐个分析代码,大大节省时间和精力。 3. 漏洞检测:能够准确识别不同版本struts2框架中已知的漏洞,并生成详细的漏洞报告,包括漏洞描述、危害程度以及修复建议等信息。 4. 安全性:能够保证敏感信息的安全性,包括扫描过程中的数据传输加密、数据存储加密等措施,确保不会对被扫描的系统造成任何风险。 5. 漏洞修复:根据漏洞检测结果提供的修复建议,用户可及时对系统进行修复,避免被黑客攻击利用漏洞进行非法操作。 总之,天融信的"struts2全版本漏洞检测工具"是一款功能强大、易于使用的安全工具,可帮助用户全面检测和修复struts2框架中的漏洞,提升应用程序的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值