從今天開始，打算將自己的挖洞歷程一點一滴給記錄下來，從17年開始接觸web***，學(xué)完了cracer17年的教程，看過網(wǎng)易公開課，目前在安全牛課堂學(xué)習(xí)kali***測試。心里其實很感慨，學(xué)了很多，感覺會得太少，到現(xiàn)在挖洞經(jīng)驗仍然為0 （想哭）T_T!

站在用戶的角度思考問題，與客戶深入溝通，找到大同網(wǎng)站設(shè)計與大同網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：網(wǎng)站制作、網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、空間域名、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋大同地區(qū)。

偶爾會很迷茫，自己到底學(xué)了了什么呢，學(xué)而不會有何用?。?！

這是一個新的開始，以練代學(xué)，由淺入深，特以此系列獻給和我曾經(jīng)一樣犯過迷茫的孩子。

閑話不說，進入正題吧，這些文章我會定期完善和補充，希望大家伙可以多多交流。

第一站，讓我們來研究一下struts2漏洞吧，在這里我先講漏洞的利用，分享一下小工具，最后逐步補充漏洞的原理吧，大家原諒一下小白的能力有限，嘻嘻^_^

1、信息收集: 關(guān)鍵字：
inurl:.action?
inurl:.action?id
inurl:.action?mid
inurl:.action?參數(shù)名
inurl:index.action

inurl:login.action

2、工具篇：url爬取搭配struct2工具

url采集：https://pan.baidu.com/s/1BEKGHck1XDQrO0zLeLwe4Q

    解壓密碼3ne6

struts利用：https://pan.baidu.com/s/1SQ-NW9rtzm7sRfIC9_0YrQ

解壓密碼5emo

3、舉個栗子

到這里相信各位小伙伴已經(jīng)看到了url采集的精確度太差了，好吧換一個，以后咱自己寫，嗚嗚

嗯還蠻準的，下一步開始驗證吧

很多兄弟會說這么多url一個個手動試嗎，我的回答當然是不，小弟正在自學(xué)python，以后寫出工具與君共享。好吧，暫時就這樣了，第一篇草草收場！
轉(zhuǎn)載自本人csdn博客https://mp.csdn.net/postedit/79841604

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享題目：1、struts2漏洞利用小結(jié)-創(chuàng)新互聯(lián)
文章源于：http://weahome.cn/article/ghjos.html