全版本struts2漏洞练习

 

 

docker中有struts2全版本的漏洞平台

 

1、首先在docker中进行下载:

# docker pull 2d8ru/struts2

 

2、其次运行:(48729为物理机的端口,可随意指定)

# docker run --name struts2 -p48729:8080 -d 2d8ru/struts2

 

3、下载struts2漏洞扫描工具:

https://github.com/Lucifer1993/struts-scan

该工具支持对以下的漏洞进行检测:

ST2-005
ST2-008
ST2-009
ST2-013
ST2-016
ST2-019
ST2-020
ST2-devmode
ST2-032
ST2-033
ST2-037
ST2-045
ST2-046
ST2-048
ST2-052
ST2-053
ST2-057

 

 

4、

说明:需要检测哪一个漏洞就直接更改S2-032处就可以了,如检测S2-032,那么输入地址:http://192.168.43.14:48729/S2-032/         即可进入到存在S2-032漏洞的地址。

在浏览器中打开存在S2-032漏洞的地址,得到该url:http://192.168.43.14:48729/S2-032/memoshow.action?id=3

 

5、使用struts2漏洞扫描工具对目标网站进行检测并且可以直接利用:

[1] 可以批量检测全部漏洞,但经过测试,觉得不准确。

 

[2] 建议使用指定漏洞的方法进行检测:

 

{ 经测试,除了008、009、046、048、052 这几个漏洞,其他漏洞均可以使用上述方法进行检测并利用 }

{ 该漏洞平台没有 020、 057 这两个漏洞 }

 

 

posted @ 2019-12-15 14:32  relax.1949  阅读(2769)  评论(0编辑  收藏  举报