基本介绍
大家好,我是ABC_123。在2016年时,很多JAVA编写的应用网站都是基于Struts2框架研发的,因而Struts2的各个版本的漏洞非常多,当时为了方便安全测试人员快速寻找Struts2漏洞,于是ABC_123尽可能把这款工具写的简单容易上手,哪怕对Struts2漏洞完全不懂的新手,也能快速找到Struts2漏洞并进行修复。
注:此前一直在内部流传从未公开,但在一两年前,其它公众号平台已经把工具提供下载了,考虑到工具现在的危害已经大大降低,而且很多朋友害怕公开的工具捆绑有后门,因此本人还是在github上公布原版的下载吧,大家可以作为一个漏洞研究的工具使用。
工具使用
漏洞检测
运行工具后点击“检测漏洞”会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞
其他说明:
1、“批量验证”,(为防止批量geshell,此功能已经删除,并不再开发)
2、S2-020、S2-021仅提供漏洞扫描功能,因漏洞利用exp很大几率造成网站访问异常,本程序暂不提供。
3、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。
4、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。
5、支持GET、POST、UPLOAD三种请求方法,您可以自由选择(UPLOAD为Multi-Part方式提交)
6、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。
7、每次操作都启用一个线程,防止界面卡死。命令执行
命令执行
Base文件
此功能可以对二进制文件进行Base64编码,上传shell绕waf拦截时会用到
其他设置
