Struts2.3.1.4 s2-013 0day利用工具+动画

  • 发表于
  • Vulndb

一共是3个struts2 的利用网上之前的工具也只是搞2010的而已
当然重点是昨天刚出的s2-013 0day 这个是没补丁的 我不会告诉你们这洞很鸡肋
最好你自己打个环境来测一下 免得你以为工具不能用

20130523011854_67354

关于2010那洞 我就不说了 2011那个也不说了 (这两成功率 还是顶高的)

s2-013 实战 鸡肋(要不然这工具也不会丢出来了最好你自己打个环境来测一下 免得你以为工具不能用)

Struts2.3.1.4 0day触发条件

1 s2 架构
2 使用了s2的 a标签
3 includeParams=all

k8team

在ie下看到的a标签 和普通html没啥区别

在firefox下会看到 使用了s2 a标签的链接源码是这样的
*.jsp;jsessionid

inurl: *.jsp;jsessionid能不能搞到 纯属看你人品了

教程和工具下载:http://pan.baidu.com/share/link?shareid=674881&uk=537349718