前言

最近看了關於Struts2漏洞，參考文章 //www.freebuf.com/vuls/168609.html，這篇文章里對Struts2的漏洞及原理進行了詳細的講解。自己也從網上找了個Struts Scan工具腳本。原作者用python2.x寫的，下載地址 //github.com/Lucifer1993/struts-scan ，裏面有使用說明。我將裏面的語法改為了python3.x，也可以網盤下載這個//pan.baidu.com/s/1SsNlAGyBcSarI3Rist7xKQ
提取碼：ultn

Struts 2漏洞背景

Struts2是apache項目下的一個web 框架，普遍應用於阿里巴巴、京東等互聯網、政府、企業門戶網站。從2007年到現在Struts2漏洞應該有50多個，基本上是xss,csrf,rce,dos等，威脅較大的應該就是那些遠程代碼執行漏洞。

首先需要安裝python環境，百度有很多教程，這裡不再說，這裡以python3.7為例。然後需要在下載requests模塊，這裡推薦使用清華鏡像源，下載的快，還不會出問題。打開命令行，找到下載的python路徑，如下圖

接着直接使用清華鏡像源，地址為

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple requests

下載成功後，如圖所示

還沒有結束，還需要將 pip更新一下，還是使用國內的源，地址

python -m pip install --upgrade pip -i https://pypi.douban.com/simple

接着輸入下面命令沒有報錯，說明安裝好了

還需要安裝termcolor模塊，直接用這個命令就可以

pip install termcolor

然後就可以了，我用本地程序測試，結果如下圖。