0x01 工具介绍

在2016年时，很多Java开发的网站都是基于Struts2框架的，当时Struts2框架不断爆出各种漏洞，很多工具检测不准确，因而给安全人员、研发人员带来了很大麻烦。为了解决这个问题，ABC_123研发了这款工具，尽可能使这款工具简单容易上手，哪怕对Struts2漏洞完全不懂的新手，也能快速找到Struts2漏洞并进行修复。

注：此前一直在内部流传从未公开，但在一两年前，其它公众号平台已经把工具提供下载了，考虑到工具现在的危害已经大大降低，而且很多朋友害怕公开的工具捆绑有后门，因此本人还是在github上公布原版的下载吧，大家可以作为一个漏洞研究的工具使用。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦！

下载地址在末尾

0x02 功能简介

🔥 功能介绍

1、点击“检测漏洞”，会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。

2、“批量验证”，（为防止批量geshell，此功能已经删除，并不再开发）。

3、S2-020、S2-021仅提供漏洞扫描功能，因漏洞利用exp很大几率造成网站访问异常，本程序暂不提供。

4、对于需要登录的页面，请勾选“设置全局Cookie值”，并填好相应的Cookie，程序每次发包都会带上Cookie。

5、作者对不同的struts2漏洞测试语句做了大量修改，执行命令、上传功能已经能通用。

6、支持GET、POST、UPLOAD三种请求方法，您可以自由选择。（UPLOAD为Multi-Part方式提交）

7、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。

8、每次操作都启用一个线程，防止界面卡死。

警告：该工具为漏洞自查工具，仅用来扫描及验证网站存在的Struts2漏洞，并可以协助管理员修复网站漏洞，也可用作授权的渗透测试，但严禁用于非授权的渗透测试、严禁用于攻击他人网站、严禁用于非法途径，否则后果自负。

0x03更新说明

2025.07.05 新增检测Struts2框架下Log4j2漏洞的新语句。2025.07.04 新增下载文件到指定目录功能，应对上传webshell过程无法绕过WAF的情况。2025.07.04 新增延时方法判断Struts2漏洞，解决Struts2框架无回显情况下的漏洞检测。2025.07.02 新增S2-018漏洞检测方法。2025.07.02 新增S2-017漏洞新的检测语句，进一步提升漏洞检测的准确度。2025.07.02 新增S2-019漏洞新的检测语句，进一步提升漏洞检测的准确度。

0x04 使用介绍

📦开箱即用

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀/挖洞赚取漏洞赏金/红队打点/HW漏洞库欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每1-2天更新1day/0day漏洞刷分上分()，包含全网一些付费工具及BurpSuite自动化漏洞探测插件，AI代审工具等等。shadonQuakeFofa高级会员，CTFShow等各种账号会员共享。详情直接点击下方链接进入了解，觉得价格高的师傅可后台回复" 星球 "有优惠券名额有限先到先得！全网资源最新最丰富！（🤙截止目前已有1900+多位师傅选择加入❗️早加入早享受）

2025HW漏洞情报分享：https://t.zsxq.com/Faujy

👉

结尾

免责声明

获取方法

公众号回复20250718获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！