===================================
0x01 工具介绍
Struts2全版本漏洞检测工具。最新更新的部分漏洞:
2024.05.23 解决S2-045-2检测payload极端情况下误报问题。2023.07.30 解决mac系统兼容性问题,解决软件界面在不同jdk下大小显示不一样问题。2023.07.20 对每一个文本输入框添加右键撤销功能。2023.07.19 对所有文本框输入框添加右键复制、粘贴、全选、删除功能。解决Mac系统的兼容性问题。2023.02.18 新增一条检测Struts2调试模式的语句。
0x02 安装与使用
1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。
2、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)。
3、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。
4、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。
5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。
6、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交)
7、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。
8、每次操作都启用一个线程,防止界面卡死。
https://github.com/abc123info/Struts2VulsScanTools
原文始发于微信公众号(Web安全工具库):Struts2全版本漏洞检测工具 -- Struts2VulsScanTools(5月23日更新)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论