struts2 漏洞测试工具
实在是没办法啊,服务器又被黑了。
Struts2 远程代码执行漏洞利用工具 bulid 20130720
[+] S2-016 CVE-2013-225 支持GetShell/获取物理路径/执行CMD命令
[+] S2-013 CVE-2013-1966 支持GetShell/获取物理路径/执行CMD命令
[+] S2-009 CVE-2011-3923 支持GetShell/获取物理路径/执行CMD命令
[+] S2-005 CVE-2010-1870 支持GetShell/获取详细信息/执行CMD命令
上传了很多木马jsp 文件。尝试了一下,居然可以管理服务器内部文件。
我们项目使用的struts2 2.3.12 ,不能幸免的的被黑了。
Struts2 远程代码执行漏洞利用工具 bulid 20130720
[+] S2-016 CVE-2013-225 支持GetShell/获取物理路径/执行CMD命令
[+] S2-013 CVE-2013-1966 支持GetShell/获取物理路径/执行CMD命令
[+] S2-009 CVE-2011-3923 支持GetShell/获取物理路径/执行CMD命令
[+] S2-005 CVE-2010-1870 支持GetShell/获取详细信息/执行CMD命令
实在是郁闷啊。
http://struts.apache.org/release/2.3.x/docs/s2-016.html。
来看看官方的说明吧。
然后再来看看牛B的大神们的工具吧。这叫一个牛B.
拿着大神的工具,然后测试自己的项目。日。上传文件成功了。
好吧。服务器成功被入侵了。
http://qqhack8.blog.163.com/blog/static/114147985201361951950479/。大家去这个地方看看吧。
其中,我的工具就是在这儿下载的。
我的更多文章:
- 解决itext生成嵌套PdfPtable时,格式,字体方面的一些问题
(2012-09-06 15:34:27) - Mysql 查看session连接数,状态(2012-09-05 14:31:11)
- mysql root 密碼更改(2012-02-17 09:35:00)
- 对于java web 项目中文乱码的解决心得(二) struts+spring+hibernate(2012-01-05 14:58:04)
- 对于java web 项目中文乱码的解决心得 struts+spring+hibernate(2012-01-05 12:14:03)