1、Struts 信息收集

1.1、信息需求

  • Struts2 使用的版本

  • Struts2使用了哪些插件

    保存插件的目录:struts2-blank\WEB-INF\lib

Struts2的本身的版本可以根据struts2-core-2.5.13.jar的版本来判断

  • Struts2使用的配置文件

    需要关注一下配置文件:struts.xml、struts.properties 、 web.xml

1.2、收集方案

  • 定为war包路径
  • 获取war包内部目录结构
    • jar vtf fileName.jar
  • 上传目录结构信息
  • 上传配置文件信息

1.3、确认jar包版本

  • 根据jar包的名称
  • MANIFEST.MF文件中保存有版本号
Manifest-Version: 1.0 
Created-By: Apache Ant 1.5.1 
Extension-Name: Struts Framework 
Specification-Title: Struts Framework 
Specification-Vendor: Apache Software Foundation 
Specification-Version: 1.1 
Implementation-Title: Struts Framework 
Implementation-Vendor: Apache Software Foundation 
Implementation-Vendor-Id: org.apache 
Implementation-Version: 1.1 
Class-Path:  commons-beanutils.jar commons-collections.jar commons-digester.jar commons-logging.jar commons-validator.jar jakarta-oro.jar struts-legacy.jar

1.x、参考资料

struts2 rest插件http://www.cnblogs.com/esten/archive/2012/06/08/2541492.html

《漏洞预警 | 高危Struts REST插件远程代码执行漏洞(S2-052)》 http://www.freebuf.com/vuls/146718.html

Java ee struts2+tomcat+mysql 开发环境的配置http://www.cnblogs.com/Lostork/p/5982046.html

《》

results matching ""

    No results matching ""