Vulmap和struts-scan联合使用

最新推荐文章于 2023-08-11 09:51:20 发布
最新推荐文章于 2023-08-11 09:51:20 发布
阅读量192 收藏
点赞数
文章标签: vumlmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y995zq/article/details/132055889
版权

介绍

Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备漏洞利用功能, 目前支持的 webapps 包括 activemq, flink, shiro, solr, struts2, tomcat, unomi, drupal, elasticsearch, fastjson, jenkins, nexus, weblogic, jboss, spring, thinkphp

Vulmap 将漏洞扫描与验证(漏洞利用)结合到了一起, 及大程度便于测试人员在发现漏洞后及时进行下一步操作, 工具追求于于高效、便捷
高效: 逐步开发中慢慢引入了批量扫描、Fofa、Shodan 批量扫描, 且支持多线程默认开启协程, 以最快的速度扫描大量资产
便捷: 发现漏洞即可利用, 大量资产扫描可多格式输出结果

struts-scan:快速检测struts命令执行漏洞

python3 vulmap.py -u http://URL -a struts2 

 

 python2.7 struts-scan.py -u http://URL -i struts2-045

 

 

十三2
关注
struts扫描利用工具(2018-11新版)
11-30
# struts-scan 快速检测struts命令执行漏洞,可批量。 # 运行环境 MAC/Linux下的Python2 # 支持对以下版本的检测 ST2-005 ST2-008 ST2-009 ST2-013 ST2-016 ST2-019 ST2-020 ST2-devmode ST2-032 ST2-033 ST2-037 ST2-045 ST2-046 ST2-048 ST2-052 ST2-053 ST2-057 # 使用 ![image](./images/poc.png) ![image](./images/exp.png) # 增加 [+]针对各版本的shell命令交互 [+]struts2-052检测(利用后面会加上) [+]struts2-053检测+利用(需要提供参数) [+]检测过程中输出超时原因 [+]兼容HTTP/1.0,修复了struts-045检测不准确的问题 [+]struts2-046检测+利用 [+]修改struts2-048的payload [+]针对某些超时的情况,注释掉 httplib.HTTPConnection._http_vsn = 10 和httplib.HTTPConnection._http_vsn_str = 'HTTP/1.0'这两行再测试一遍,因为有的可能不支持HTTP/1.0的协议。 [+]增加linux和win的可执行文件,windows需要.NET环境。 [+]增加写入文件功能,针对有漏洞的struts版本号会自动写入success.txt文件。 [+]增加struts2-057检测和利用,生产环境还没有找到可利用的例子,实属鸡肋的洞,参考https://github.com/Ivan1ee/struts2-057-exp。 # 特别说明 此工具仅限于漏洞验证,如若使用者引起相关的法律责任请自负,开发者不承担连带责任。
struts-scan-master.zip
09-04
为了使用Struts-Scan-Master,你需要了解基本的命令行操作和可能的配置选项。在运行工具前,确保你有权限访问目标系统,并且理解可能的误报或漏报。同时,记得在生产环境中进行扫描时要确保不会对业务造成影响,最好...
Struts2系列漏洞利用工具-Struts2-Scan(二)
siu~
08-11 1441
Struts2全漏洞扫描利用工具
【漏扫工具Struts Scan简介、下载、使用方法
05-15 1379
工具Struts Scan漏扫
Struts2漏洞和Struts Scan工具实战
weixin_33889665的博客
06-04 2185
一、Apache Struts 2漏洞背景 1.漏洞详情 2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞。在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值构造恶意代码,在服务器上执行系统命令,完全控制该服务器,最后达到挖矿、对外攻/击、数据窃取勒索、篡改为菠菜站等目的。漏洞利用所需组件默认启用,风险等级为...
structs 中 struts-tags 引入struts 标签库
樱木天亥
04-15 5651
转载至:https://blog.csdn.net/wuha0/article/details/7405886 这一句<%@ taglib prefix=”s” uri=”/struts-tags” %>就是从地址/struts-tags下面寻找标签库,可能有人会好奇这个地址在哪里呢?答案是它定义在Struts 2库文件struts2-core-2.0.11.jar里面的文件ME...
Cannot Resolve Struts Package 'struts-default'解决方案
小洋人最happy的专栏
03-28 5092
问题 在配置struts.xml文件时,其中package的extends配置项报错,如下: 解决方案 需要导入struts2-core.jar中的struts-default.xml。
json-default和struts-default的区别
主愛永恒的博客
03-03 2462
json-default是继承struts-default,json这个result type是在json-default (struts2-json-plugin-2.1.8.1.jar\struts-plugin.xml)里面定义的,内容如下(省去了xml和doctype标签): 可见,name为"json"的result type是在json-d
struts-2.3.34和struts-2.5.16引入jar以及配置web.xml和struts.xml
博客
05-13 2847
struts-2.3.341. 引入jarasm-3.3.jar asm-commons-3.3.jar asm-tree-3.3.jar commons-fileupload-1.3.1.jar commons-io-2.2.jar commons-lang3-3.1.jar commons-logging-1.1.3.jar freemarker-2.3.19.jar jarlist.txt ...
struts-config.xml配置文件详解
热门推荐
徐刘根的博客
09-22 1万+
(1)最近在学struts,找到一个struts-config.xml的配置说明,分享给大家: 是struts的根元素,它主要有8个子元素,DTD定义如下: <!ELEMENT struts-config (data-sources?,form-beans?,global-exceptions?,global-forwards?,action-mappings?,controlle
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
这个标题和描述提到的"struts2-scan"是一种工具,专门用来检测Struts2框架中的安全漏洞。 Struts2漏洞通常涉及到框架的核心组件,例如OGNL(Object-Graph Navigation Language)表达式,这是一种强大的语言,允许在...
struts2_vuln_scan.zip_Struts2Scan_struts-scan闪退_struts2漏洞_vuln漏洞
09-23
标题中的“Struts2Scan”和“struts-scan闪退”可能是指一个名为Struts2Scan的漏洞扫描器,这个工具用于检测Struts2应用是否存在已知的安全漏洞。然而,“struts-scan闪退”可能意味着在运行过程中遇到了问题,导致...
Struts-Scan:https的修改项目
04-09
3. **Struts漏洞检测**:可能包含了使用Struts-Scan工具扫描Struts应用中的已知漏洞,如CVE-2017-5638(S2-045)这种远程代码执行漏洞。 4. **Python编程**:尽管标签是"Python",但在Struts应用中,Python可能...
基于Python的Struts2-Scan安全漏洞扫描工具设计源码
05-23
Struts2-Scan是一个基于Python开发的安全漏洞扫描工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python源文件、1个文本文件和1个JSP文件。该项目为用户提供了一个...
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2820
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2;Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
永磁同步电机(PMSM)基于高阶滑模观测器(HSMO)的无位置传感器速度控制仿真
最新发布
10-01
永磁同步电机(PMSM)基于高阶滑模观测器(HSMO)的无位置传感器速度控制仿真。
该课题为基于Matlab的数字水印系统。带有一个人机交互界面。方法包括DCT和DW
10-01
该课题为基于Matlab的数字水印系统。带有一个人机交互界面。方法包括DCT和DWT。实现方式流程为_digital-watermarking
基于Java开发的xuai项目设计源码
10-01
该项目是一款采用Java语言开发的xuai项目设计源码,整体架构包含70个文件,其中Java源代码文件24个,XML配置文件18个,以及少量其他辅助文件类型,如IML构建配置、Git忽略规则、文本描述等。该项目源码结构清晰,易于理解和维护,适合对Java开发感兴趣的爱好者学习和研究。
Struts配置解析:struts-config.xml详解
"struts-config文件标签详解...在实际开发中,根据应用需求,开发者需要在Struts-config.xml中精确配置这些元素,以实现应用程序的正确运行和优化。理解并熟练掌握这些配置对于开发和维护基于Struts的Web应用至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值