文章总结： 本文介绍了一款由abc123info开发的Struts2全版本漏洞检测工具，该工具可检测S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061及相关Log4j2等十余种漏洞，支持命令执行、文件上传、目录浏览等功能，并提供代理配置、编码转换等辅助选项，适用于安全测试人员快速检测和修复Struts2框架漏洞。 综合评分： 65 文章分类： 安全工具,漏洞分析,Web安全

【护网必备】最新Struts2全版本漏洞检测工具

abc123info abc123info

七芒星实验室

2024年6月4日 07:30 四川

在小说阅读器读本章

去阅读

基本介绍

大家好，我是ABC_123。在2016年时，很多Java编写的应用网站都是基于Struts2框架研发的，因而Struts2的各个版本的漏洞非常多，当时为了方便安全测试人员快速寻找Struts2漏洞，于是ABC_123尽可能把这款工具写的简单容易上手，哪怕对Struts2漏洞完全不懂的新手，也能快速找到Struts2漏洞并进行修复。

注：此前一直在内部流传从未公开，但在一两年前，其它公众号平台已经把工具提供下载了，考虑到工具现在的危害已经大大降低，而且很多朋友害怕公开的工具捆绑有后门，因此本人还是在github上公布原版的下载吧，大家可以作为一个漏洞研究的工具使用。

工具使用

漏洞检测

运行工具后点击“检测漏洞”会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞

其他说明：

1、“批量验证”，（为防止批量geshell，此功能已经删除，并不再开发）

2、S2-020、S2-021仅提供漏洞扫描功能，因漏洞利用exp很大几率造成网站访问异常，本程序暂不提供。 3、对于需要登录的页面，请勾选“设置全局Cookie值”，并填好相应的Cookie，程序每次发包都会带上Cookie。 4、作者对不同的struts2漏洞测试语句做了大量修改，执行命令、上传功能已经能通用。 5、支持GET、POST、UPLOAD三种请求方法，您可以自由选择(UPLOAD为Multi-Part方式提交) 6、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。 7、每次操作都启用一个线程，防止界面卡死。命令执行

命令执行

文件上传目前文件上传支持上传文件到指定目录或者网站根目录

目录浏览

支持查阅服务器端磁盘文件

Base文件

此功能可以对二进制文件进行Base64编码,上传shell绕waf拦截时会用到

其他设置

此模块支持代理配置等功能

免责声明

本开源工具是由作者按照开源许可证发布的，仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任

下载地址

点击下方名片进入公众号

回复关键字【240604】获取下载链接

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：七芒星实验室 abc123info abc123info《【护网必备】最新Struts2全版本漏洞检测工具》