從今天開始，打算將自己的挖洞歷程一點一滴給記錄下來，從17年開始接觸web***，學(xué)完了cracer17年的教程，看過網(wǎng)易公開課，目前在安全牛課堂學(xué)習(xí)kali***測試。心里其實很感慨，學(xué)了很多，感覺會得太少，到現(xiàn)在挖洞經(jīng)驗仍然為0 （想哭）T_T!

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供景德鎮(zhèn)企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計、成都做網(wǎng)站、H5頁面制作、小程序制作等業(yè)務(wù)。10年已為景德鎮(zhèn)眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站設(shè)計公司優(yōu)惠進(jìn)行中。

偶爾會很迷茫，自己到底學(xué)了了什么呢，學(xué)而不會有何用?。?！

這是一個新的開始，以練代學(xué)，由淺入深，特以此系列獻(xiàn)給和我曾經(jīng)一樣犯過迷茫的孩子。

閑話不說，進(jìn)入正題吧，這些文章我會定期完善和補充，希望大家伙可以多多交流。

第一站，讓我們來研究一下struts2漏洞吧，在這里我先講漏洞的利用，分享一下小工具，最后逐步補充漏洞的原理吧，大家原諒一下小白的能力有限，嘻嘻^_^

1、信息收集: 關(guān)鍵字：
inurl:.action?
inurl:.action?id
inurl:.action?mid
inurl:.action?參數(shù)名
inurl:index.action

            inurl:login.action

2、工具篇：url爬取搭配struct2工具

url采集：https://pan.baidu.com/s/1BEKGHck1XDQrO0zLeLwe4Q

           解壓密碼3ne6

struts利用：https://pan.baidu.com/s/1SQ-NW9rtzm7sRfIC9_0YrQ

            解壓密碼5emo

3、舉個栗子

到這里相信各位小伙伴已經(jīng)看到了url采集的精確度太差了，好吧換一個，以后咱自己寫，嗚嗚

嗯還蠻準(zhǔn)的，下一步開始驗證吧

很多兄弟會說這么多url一個個手動試嗎，我的回答當(dāng)然是不，小弟正在自學(xué)python，以后寫出工具與君共享。好吧，暫時就這樣了，第一篇草草收場！
轉(zhuǎn)載自本人csdn博客https://mp.csdn.net/postedit/79841604