Struts Scan工具的使用

前言

最近看了关于Struts2漏洞，参考文章 https://www.freebuf.com/vuls/168609.html，这篇文章里对Struts2的漏洞及原理进行了详细的讲解。自己也从网上找了个Struts Scan工具脚本。原作者用python2.x写的，下载地址 https://github.com/Lucifer1993/struts-scan ，里面有使用说明。我将里面的语法改为了python3.x，也可以网盘下载这个https://pan.baidu.com/s/1SsNlAGyBcSarI3Rist7xKQ
提取码：ultn

Struts 2漏洞背景

Struts2是apache项目下的一个web 框架，普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。从2007年到现在Struts2漏洞应该有50多个，基本上是xss,csrf,rce,dos等，威胁较大的应该就是那些远程代码执行漏洞。

Struts Scan工具的使用

首先需要安装python环境，百度有很多教程，这里不再说，这里以python3.7为例。然后需要在下载requests模块，这里推荐使用清华镜像源，下载的快，还不会出问题。打开命令行，找到下载的python路径，如下图

 

 接着直接使用清华镜像源，地址为

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple requests

 下载成功后，如图所示

 

 还没有结束，还需要将 pip更新一下，还是使用国内的源，地址

python -m pip install --upgrade pip -i https://pypi.douban.com/simple

接着输入下面命令没有报错，说明安装好了

 

 还需要安装termcolor模块，直接用这个命令就可以

pip install termcolor

然后就可以了，我用本地程序测试，结果如下图。