S2-045漏洞利用工具&解决方案

本文转载自查看原文 2017-03-07 18:53 7195 Struts2/ exp

简单的重复造一个轮子，漏洞危害蛮大的

影响版本：Struts 2.3.5 - Struts 2.3.31，Struts 2.5 - Struts 2.5.10

仅供学习测试使用，严禁非法操作！

下载链接

修复建议：

1.很官方的解释升级struts2版本

2.做过滤器

获取Content-Type的值，如果包含了某些特征进行过滤pass(治标不治本，有被绕过的可能) //当时写的也被证实了，确实存在绕过S2-046,所以大家尽量升级。

类似：(网上随意找，仅供参考思路)

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,FilterChain chain) throws ServletException, IOException {
    String contentType=request.getContentType();
    if(contentType!=null&&contentType.indexOf("ognl")!=-1){  //特征字符
        System.out.println(contentType);
        return;
    }else{  
        chain.doFilter(request, response);
    }
}

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046) [原创]K8 Struts2 Exp 20170310 S2-045(Struts2综合漏洞利用工具) S2-045漏洞利用脚本汇总 s2-045漏洞批量检测工具 S2-045漏洞初步分析 20145330 《网络对抗》 Eternalblue(MS17-010)漏洞复现与S2-045漏洞的利用及修复 i春秋实验--struts2远程命令执行S2-045漏洞利用与修复 Struts-S2-045漏洞利用记录一次Struts s2-045重大安全漏洞修复过程 struts2的(S2-045,CVE-2017-5638)漏洞测试笔记