请选择 进入手机版 | 继续访问电脑版
查看: 936|回复: 4

[工具专区] Struts2漏洞利用工具Devmode版发布

[复制链接]
  • TA的每日心情
    慵懒
    2017-4-9 19:10
  • 签到天数: 149 天

    [LV.7]常住居民III

    发表于 2016-7-13 21:48:08 | 显示全部楼层 |阅读模式
    上个月月中Struts2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞,发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。

    当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

    14683264822756.jpg

    什么是devMode?

    所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

    影响范围:

    当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

    修复方案:

    关闭devMode:在struts.xml 设置

    <constant name="struts.devMode" value="false" />

    *免责声明:本工具仅供安全测试用途,禁止非法使用。请自行留意和检查工具安全性。

    当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

    漏洞利用工具下载地址:

    Struts2漏洞利用工具Devmode版.zip (6.4 KB, 下载次数: 16)
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2016-11-12 12:49
  • 签到天数: 222 天

    [LV.7]常住居民III

    发表于 2016-7-14 08:19:41 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-5-24 20:15
  • 签到天数: 22 天

    [LV.4]偶尔看看III

    发表于 2016-7-15 10:12:21 | 显示全部楼层
    谢谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-3-9 13:28
  • 签到天数: 36 天

    [LV.5]常住居民I

    发表于 2016-9-18 21:17:01 | 显示全部楼层
    感谢分享,收藏了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-6-26 16:15
  • 签到天数: 18 天

    [LV.4]偶尔看看III

    发表于 2016-9-19 09:13:22 | 显示全部楼层
    感谢分享
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表