【工具推荐】TomcatWeakPassChecker v2.2(最新版本) - Tomcat 毛病一键毛病
工具先容:一键tomcat毛病批量弱口令检测、后台部署war包getshell,该脚本用于查抄Apache Tomcat管理页面的弱密码,并实验通过上传自定义WAR包部署Godzilla Webshell。如果乐成,将记录乐成登录的信息以及获取到的Webshell地址。
下载地址
链接:https://pan.quark.cn/s/2062b75c4312环境安装:
通过以下命令安装所需模块:
pip install -r requirements.txt使用方法
[*]准备包含URL、用户名和密码的文本文件,分别命名为urls.txt、user.txt和passwd.txt。
[*]urls.txt生存格式:https://127.0.0.1/或者 https://127.0.0.1/manager/html 脚本会自行判断检测
[*]在config.yaml中配置文件路径和其他设置。
[*]运行脚本,将会在success.txt文件中记录乐成的登录信息和Webshell的URL。
python TomcatWeakPassChecker.py
https://img2024.cnblogs.com/blog/2010489/202409/2010489-20240905155611722-1855842464.png
功能
1. CVE-2017-12615 毛病检测
[*]工具支持三种利用方式:
PUT /1.jsp/
PUT /1.jsp%20
PUT /1.jsp::$DATA
[*]乐成上传后,工具会实验访问并执行上传的 JSP 文件,判断是否能长途执行代码。
[*]对每种利用方式的结果分别记录乐成或失败状态。
2. 弱口令检测
[*]支持通过用户名与密码组合进行弱口令暴力破解。
[*]若登录乐成,将主动实验上传 Godzilla Webshell,提供长途访问本领。
[*]登录乐成与否均会详细记录。
3. 后台部署 WAR 包 getshell
[*]在弱口令破解乐成后,工具会实验通过 Tomcat 管理后台上传 WAR 包,以获取长途代码执行权限。
[*]部署的 WAR 包会在服务器上解压并生成 JSP Shell 文件,乐成上传后,工具会访问并执行该 Shell。
[*]支持通过配置文件自定义 WAR 包和 Shell 文件的内容。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]