各種POCがありました。
特にStruts2については、↓にあります。
https://github.com/coffeehb/Some-PoC-oR-ExP/tree/master/Struts2
Apache HTTP Serverのバージョンを当てる方法 bannerは信じちゃダメですよね。ぼくも対策を求められて面倒くさかったのでbinaryを偽装した覚えがあります。
Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 に、「既に攻撃コードが公開されており、中国のWebサイトでは URL を入力するだけで脆弱性の有無をチェックするサイトも登場しています」とあるのですが当該サイトの画像だけでlinkが無かったので、探してもらいました。↓
Seebug Vulnerability Scan Online Tomcat代码执行漏洞(CVE-2017-12615)
ただ、↑を試したところ、loginしてないと試せなくて、sign upするには電話番号とSNS codeまで必要なので、諦めました。Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 POCへのlinkがありました。