struts2 漏洞测试工具

实在是没办法啊，服务器又被黑了。

上传了很多木马jsp 文件。尝试了一下，居然可以管理服务器内部文件。

我们项目使用的struts2 2.3.12 ，不能幸免的的被黑了。

Struts2 远程代码执行漏洞利用工具 bulid 20130720
[+] S2-016 CVE-2013-225   支持GetShell/获取物理路径/执行CMD命令

[+] S2-013 CVE-2013-1966  支持GetShell/获取物理路径/执行CMD命令

[+] S2-009 CVE-2011-3923  支持GetShell/获取物理路径/执行CMD命令

[+] S2-005 CVE-2010-1870  支持GetShell/获取详细信息/执行CMD命令

实在是郁闷啊。

http://struts.apache.org/release/2.3.x/docs/s2-016.html。

来看看官方的说明吧。

然后再来看看牛Ｂ的大神们的工具吧。这叫一个牛B.

拿着大神的工具，然后测试自己的项目。日。上传文件成功了。

好吧。服务器成功被入侵了。

http://qqhack8.blog.163.com/blog/static/114147985201361951950479/。大家去这个地方看看吧。

其中，我的工具就是在这儿下载的。

我的更多文章：

• 解决itext生成嵌套PdfPtable时，格式，字体方面的一些问题(2012-09-06 15:34:27)
• Mysql 查看session连接数,状态(2012-09-05 14:31:11)
• mysql root 密碼更改(2012-02-17 09:35:00)
• 对于java web 项目中文乱码的解决心得（二）  struts+spring+hibernate(2012-01-05 14:58:04)
• 对于java web 项目中文乱码的解决心得  struts+spring+hibernate(2012-01-05 12:14:03)