Struts2全版本漏洞检测工具更新!V19.68
字数 1366 2025-09-01 11:26:11

Struts2全版本漏洞检测工具使用指南

工具概述

Struts2全版本漏洞检测工具是一款专门用于检测Apache Struts2框架各种已知漏洞的安全工具,最新版本为V19.68(2025年7月更新)。该工具能够检测Struts2框架的十余种高危漏洞,并提供部分漏洞的利用功能。

主要功能

  1. 漏洞检测:自动检测URL是否存在以下Struts2漏洞:

    • S2-001
    • S2-005
    • S2-009
    • S2-013
    • S2-016
    • S2-019
    • S2-020/021
    • S2-032
    • S2-037
    • DevMode漏洞
    • S2-045/046
    • S2-052
    • S2-048
    • S2-053
    • S2-057
    • S2-061
    • Struts2相关log4j2漏洞

  2. 请求方法支持

    • GET
    • POST
    • UPLOAD(Multi-Part方式提交)

  3. 编码转换支持:部分漏洞测试支持UTF-8、GB2312、GBK编码转换

  4. 特殊功能

    • 设置全局Cookie值(用于需要登录的页面)
    • 下载文件到指定目录(应对上传webshell过程无法绕过WAF的情况)
    • 延时方法判断Struts2漏洞(解决无回显情况下的漏洞检测)

使用说明

基本操作

  1. 单URL检测

    • 输入目标URL
    • 点击"检测漏洞"按钮
    • 工具会自动检测该URL可能存在的所有Struts2漏洞

  2. 认证页面检测

    • 勾选"设置全局Cookie值"
    • 填写相应的Cookie值
    • 程序每次发包都会带上该Cookie

  3. 请求方法选择

    • 根据目标系统情况选择GET、POST或UPLOAD方法
    • UPLOAD方法使用Multi-Part方式提交数据

高级功能

  1. 文件下载功能

    • 用于绕过WAF上传webshell
    • 可将文件下载到指定目录

  2. 无回显检测

    • 使用延时方法判断漏洞存在
    • 适用于Struts2框架无回显情况

  3. 编码转换

    • 部分漏洞测试支持编码转换
    • 可选择UTF-8、GB2312或GBK编码

注意事项

  1. 批量验证功能

    • 为防止批量geshell,此功能已删除并不再开发

  2. S2-020/021漏洞

    • 仅提供漏洞扫描功能
    • 不提供利用功能,因exp可能造成网站访问异常

  3. 线程管理

    • 每次操作都启用一个独立线程
    • 防止界面卡死

更新日志

2025年7月更新

  • 2025.07.05:新增检测Struts2框架下Log4j2漏洞的新语句
  • 2025.07.04
    • 新增下载文件到指定目录功能
    • 新增延时方法判断Struts2漏洞
  • 2025.07.02
    • 新增S2-018漏洞检测方法
    • 新增S2-017漏洞新的检测语句
    • 新增S2-019漏洞新的检测语句

技术特点

  1. 测试语句优化:作者对不同的Struts2漏洞测试语句做了大量修改
  2. 通用性增强:执行命令、上传功能已经能通用多种漏洞
  3. 稳定性改进:采用多线程设计,避免界面卡死

使用建议

  1. 在使用前确保已获得目标系统的合法测试授权
  2. 对于生产环境,谨慎使用可能造成服务中断的检测方法(如S2-020/021)
  3. 对于需要认证的系统,正确配置Cookie值以确保检测准确性
  4. 遇到WAF防护时,尝试使用UPLOAD方法或文件下载功能绕过

免责声明

本工具仅限安全研究和授权测试使用,使用者应遵守相关法律法规,未经授权不得用于非法用途。因使用本工具造成的任何后果,工具作者不承担任何责任。

Struts2全版本漏洞检测工具使用指南 工具概述 Struts2全版本漏洞检测工具是一款专门用于检测Apache Struts2框架各种已知漏洞的安全工具,最新版本为V19.68(2025年7月更新)。该工具能够检测Struts2框架的十余种高危漏洞,并提供部分漏洞的利用功能。 主要功能 漏洞检测 :自动检测URL是否存在以下Struts2漏洞: S2-001 S2-005 S2-009 S2-013 S2-016 S2-019 S2-020/021 S2-032 S2-037 DevMode漏洞 S2-045/046 S2-052 S2-048 S2-053 S2-057 S2-061 Struts2相关log4j2漏洞 请求方法支持 : GET POST UPLOAD(Multi-Part方式提交) 编码转换支持 :部分漏洞测试支持UTF-8、GB2312、GBK编码转换 特殊功能 : 设置全局Cookie值(用于需要登录的页面) 下载文件到指定目录(应对上传webshell过程无法绕过WAF的情况) 延时方法判断Struts2漏洞(解决无回显情况下的漏洞检测) 使用说明 基本操作 单URL检测 : 输入目标URL 点击"检测漏洞"按钮 工具会自动检测该URL可能存在的所有Struts2漏洞 认证页面检测 : 勾选"设置全局Cookie值" 填写相应的Cookie值 程序每次发包都会带上该Cookie 请求方法选择 : 根据目标系统情况选择GET、POST或UPLOAD方法 UPLOAD方法使用Multi-Part方式提交数据 高级功能 文件下载功能 : 用于绕过WAF上传webshell 可将文件下载到指定目录 无回显检测 : 使用延时方法判断漏洞存在 适用于Struts2框架无回显情况 编码转换 : 部分漏洞测试支持编码转换 可选择UTF-8、GB2312或GBK编码 注意事项 批量验证功能 : 为防止批量geshell,此功能已删除并不再开发 S2-020/021漏洞 : 仅提供漏洞扫描功能 不提供利用功能,因exp可能造成网站访问异常 线程管理 : 每次操作都启用一个独立线程 防止界面卡死 更新日志 2025年7月更新 2025.07.05 :新增检测Struts2框架下Log4j2漏洞的新语句 2025.07.04 : 新增下载文件到指定目录功能 新增延时方法判断Struts2漏洞 2025.07.02 : 新增S2-018漏洞检测方法 新增S2-017漏洞新的检测语句 新增S2-019漏洞新的检测语句 技术特点 测试语句优化 :作者对不同的Struts2漏洞测试语句做了大量修改 通用性增强 :执行命令、上传功能已经能通用多种漏洞 稳定性改进 :采用多线程设计,避免界面卡死 使用建议 在使用前确保已获得目标系统的合法测试授权 对于生产环境,谨慎使用可能造成服务中断的检测方法(如S2-020/021) 对于需要认证的系统,正确配置Cookie值以确保检测准确性 遇到WAF防护时,尝试使用UPLOAD方法或文件下载功能绕过 免责声明 本工具仅限安全研究和授权测试使用,使用者应遵守相关法律法规,未经授权不得用于非法用途。因使用本工具造成的任何后果,工具作者不承担任何责任。