关联漏洞
标题:
Apache Struts 2 输入验证错误漏洞
(CVE-2017-5638)
描述:Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 2 2.3.32之前的2 2.3.x版本和2.5.10.1之前的2.5.x版本中的Jakarta Multipart解析器存在安全漏洞,该漏洞源于程序没有正确处理文件上传。远程攻击者可借助带有#cmd=字符串的特制Content-Type HTTP头利用该漏洞执行任意命令。
描述
CVE-2017-5638
介绍
# S2-Reaper
This project is used to collect vulnerable URLs that affected by Struts2 S2-045 from the Google search results.
## Usage
```
python reaper.py
```
## About
The `reaper.py` will run a google search crawler with keywords definded at `crawler.conf` to find vulnerable URLs.
### `crawler.conf`
`base_url` : the basic google search url
`keyword` : e.g. site:gov ext:action
`expect_num` : expect search results to be crawlered
`http/socks` : set a HTTP/SOCKS5 proxy for the crawler
## Dependence
You need to run the following command to install requirements.
```
pip install beautifulsoup4 requests
```
If you want to use a SOCKS5 proxy, then install requests[socks] with pip.
```
pip install requests[socks]
```
## Reference
>
> https://github.com/meibenjin/GoogleSearchCrawler
>
> http://www.freebuf.com/sectool/129224.html
>
文件快照
[4.0K] /data/pocs/e528ff405a69443ad29617754c49701c65037dec
├── [ 189] crawler.conf
├── [ 34K] LICENSE
├── [ 853] README.md
├── [ 10K] reaper.py
└── [ 690] user_agents.txt
0 directories, 5 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。