Struts S2-013 0day利用工具

一共是3个struts2 的利用  网上之前的工具也只是搞2010的而已

当然重点是昨天刚出的s2-013 0day 这个是没补丁的 我不会告诉你们这洞很鸡肋

最好你自己打个环境来测一下 免得你以为工具不能用

Struts2.3.1.4 s2-013 0day利用工具+动画

实战 鸡肋  (要不然这工具也不会丢出来了  最好你自己打个环境来测一下 免得你以为工具不能用)

触发条件:

  • s2 架构
  • 使用了s2的 a标签
  • includeParams=all

<s:a includeParams=”all”>k8team</s:a>

在ie下看到的a标签 和普通html没啥区别

在firefox下会看到 使用了s2 a标签的链接源码是这样的
*.jsp;jsessionid

Google: inurl: *.jsp;jsessionid  能不能搞到 纯属看你人品了

工具+视频:http://pan.baidu.com/share/link?shareid=489486&uk=2785594607

[特别注意:有朋友说视频存在问题。杀毒网链接:http://r.virscan.org/334927bc495d3a48c2b2c402a6c7cf0d 但经过火眼测试是没有问题的,链接:http://fireeye.ijinshan.com/analyse.html?md5=d4b51079a6101ac3ba1bedf8b8c43606&sha1=cedafd5e9a17148c2a0258d1ade3d094a321e176&type=1 不过一切以安全为前提建议各位将视频放置虚拟机中观看。:) 同时感谢test同学给予的问题提交。:D ]

相关文章:

漏洞分析:《Struts2远程代码执行漏洞分析(S2-013)》  临时解决方案:《Struts2远程代码执行漏洞(S2-013) 临时解决方案

91ri.org:虽说鸡肋,但还是先上个解决方案好 :)

作者 K8拉登哥哥 link:http://qqhack8.blog.163.com/blog/static/114147985201342211837366/

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。