【护网必备】最新Struts2全版本漏洞检测工具

基本介绍

大家好,我是ABC_123。在2016年时,很多Java编写的应用网站都是基于Struts2框架研发的,因而Struts2的各个版本的漏洞非常多,当时为了方便安全测试人员快速寻找Struts2漏洞,于是ABC_123尽可能把这款工具写的简单容易上手,哪怕对Struts2漏洞完全不懂的新手,也能快速找到Struts2漏洞并进行修复。

注:此前一直在内部流传从未公开,但在一两年前,其它公众号平台已经把工具提供下载了,考虑到工具现在的危害已经大大降低,而且很多朋友害怕公开的工具捆绑有后门,因此本人还是在github上公布原版的下载吧,大家可以作为一个漏洞研究的工具使用。

工具使用

漏洞检测

运行工具后点击“检测漏洞”会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞

其他说明:

1、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)

2、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。 3、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。 4、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 5、支持GET、POST、UPLOAD三种请求方法,您可以自由选择(UPLOAD为Multi-Part方式提交) 6、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。 7、每次操作都启用一个线程,防止界面卡死。命令执行

命令执行

文件上传 目前文件上传支持上传文件到指定目录或者网站根目录

目录浏览

支持查阅服务器端磁盘文件

Base文件

此功能可以对二进制文件进行Base64编码,上传shell绕waf拦截时会用到

其他设置

此模块支持代理配置等功能

免责声明

本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任