===================================
该工具为漏洞自查工具,仅用来扫描及验证网站存在的Struts2漏洞,并可以协助管理员修复网站漏洞,也可用作授权的渗透测试,但严禁用于非授权的渗透测试、严禁用于攻击他人网站、严禁用于非法途径,否则后果自负。
使用方法:
1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。
2、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)。
3、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。
4、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。
5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。
6、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交)
7、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。
8、每次操作都启用一个线程,防止界面卡死。
原文始发于微信公众号(Web安全工具库):Struts2全版本漏洞检测工具(1月27日更新)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论