红客联盟 - 由08安全团队运营

红客联盟 - 由08安全团队运营»社区首页 › 红盟学院 › 资源分享 › Struts2漏洞利用工具Devmode版发布

返回列表发帖

查看: 13743|回复: 4

[工具专区] Struts2漏洞利用工具Devmode版发布

TA的每日心情

	慵懒 2017-4-9 19:10

签到天数: 149 天

[LV.7]常住居民III

发表于 2016-7-13 21:48:08 | 显示全部楼层 |阅读模式

上个月月中Struts2的漏洞预警才出，这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞，发生在devMode模式下——先前官方就已经告知用户，需要在网站正式上线前将devMode关闭，所以相关devMode模式下的漏洞提交已不再获得官方确认。

当Struts2开启devMode模式时，将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时，可远程执行任意命令，包括关机、建立新用户、以及删除服务器上所有文件等等。

什么是devMode？

所谓的devMode模式，看名称也知道，是为Struts2开发人员调试程序准备的，在此模式下可以方便地查看日志等信息。默认情况下，devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式，自然面临更大的安全问题，需要尽快修复。

影响范围：

当Struts开启devMode时，该漏洞将影响Struts 2.1.0–2.5.1，通杀Struts2所有版本。

修复方案：

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

*免责声明：本工具仅供安全测试用途，禁止非法使用。请自行留意和检查工具安全性。

当Struts2开启devMode模式时，将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时，可远程执行任意命令，包括关机、建立新用户、以及删除服务器上所有文件等等。

漏洞利用工具下载地址：

Struts2漏洞利用工具Devmode版.zip (6.4 KB, 下载次数: 16)

源码地址：

http://pan.baidu.com/s/1i4L5pa9 提取密码：xa4d
来源启明

回复

使用道具举报

细草微风岸

TA的每日心情

	擦汗 2016-11-12 12:49

签到天数: 222 天

[LV.7]常住居民III

发表于 2016-7-14 08:19:41 | 显示全部楼层

谢谢楼主的分享

回复支持反对

使用道具举报

TA的每日心情

	擦汗 2017-5-24 20:15

签到天数: 22 天

[LV.4]偶尔看看III

发表于 2016-7-15 10:12:21 | 显示全部楼层

谢谢楼主分享

回复支持反对

使用道具举报

TA的每日心情

	慵懒 2017-3-9 13:28

签到天数: 36 天

[LV.5]常住居民I

发表于 2016-9-18 21:17:01 | 显示全部楼层

感谢分享，收藏了

回复支持反对

使用道具举报

TA的每日心情

	慵懒 2017-6-26 16:15

签到天数: 18 天

[LV.4]偶尔看看III

发表于 2016-9-19 09:13:22 | 显示全部楼层

感谢分享

回复

使用道具举报

返回列表发帖

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

应急响应中心

联系我们

官方QQ群：112851260

官方邮箱：security#ihonker.org（#改成@）

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-11-15 16:40 , Processed in 0.067001 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

返回顶部