粉丝加入群聊获取更多资源 群号:1019462479
Struts2全版本漏洞自查工具19.02by:ABC_123
文章限时删除
严禁用于非授权的测试及非法用途!
功能介绍
-
点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。 -
“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)。 -
S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。 -
对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。 -
作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 -
支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) -
部分漏洞测试支持UTF-8、GB2312、GBK编码转换。 -
每次操作都启用一个线程,防止界面卡死。
警告:该工具为漏洞自查工具,仅用来扫描及验证网站存在的Struts2漏洞,并可以协助管理员修复网站漏洞,也可用作授权的渗透测试,但严禁用于非授权的渗透测试、严禁用于攻击他人网站、严禁用于非法途径,否则后果自负。
更新历程:
-
2022.06.08 重点优化log4j2漏洞探测功能,更正检测payload错误。 -
2022.05.30 优化检测payload中content参数与网站正常应用参数重合,造成的误报问题。 -
2022.05.23 加入S2-061/S2-062漏洞检测与执行命令功能。 -
2022.05.01 界面整体改版,加入部分AWT组件。 -
2022.02.10 对部分编辑框添加右键菜单,包括粘粘、剪切、复制功能,解决mac系统下无法使用快捷键问题。 -
2022.02.09 对Struts2框架Log4j2漏洞调试分析,选择2种成功率较高的poc进行漏洞测试。 -
2022.02.08 新增对Struts2框架Log4j2漏洞的检测,需要人工查看DNS日志判断漏洞是否存在。 -
2022.01.21 新增一条payload检测Struts2框架是否开启调试模式。
......
工具分享
链接:https://pan.quark.cn/s/7bb5f32a4cdb
原文始发于微信公众号(利刃信安):Struts2全版本漏洞自查工具19.02by:ABC_123
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论