前言
最近看了关于Struts2漏洞,参考文章 https://www.freebuf.com/vuls/168609.html,这篇文章里对Struts2的漏洞及原理进行了详细的讲解。自己也从网上找了个Struts Scan工具脚本。原作者用python2.x写的,下载地址 https://github.com/Lucifer1993/struts-scan ,里面有使用说明。我将里面的语法改为了python3.x,也可以网盘下载这个https://pan.baidu.com/s/1SsNlAGyBcSarI3Rist7xKQ
提取码:ultn
Struts 2漏洞背景
Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。从2007年到现在Struts2漏洞应该有50多个,基本上是xss,csrf,rce,dos等,威胁较大的应该就是那些远程代码执行漏洞。
Struts Scan工具的使用
首先需要安装python环境,百度有很多教程,这里不再说,这里以python3.7为例。然后需要在下载requests模块,这里推荐使用清华镜像源,下载的快,还不会出问题。打开命令行,找到下载的python路径,如下图
接着直接使用清华镜像源,地址为
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple requests
下载成功后,如图所示
还没有结束,还需要将 pip更新一下,还是使用国内的源,地址
python -m pip install --upgrade pip -i https://pypi.douban.com/simple
接着输入下面命令没有报错,说明安装好了
还需要安装termcolor模块,直接用这个命令就可以
pip install termcolor
然后就可以了,我用本地程序测试,结果如下图。
