【工具推荐】TomcatWeakPassChecker v2.2(最新版本) - Tomcat 毛病一键毛病 ...

工具先容：
一键tomcat毛病批量弱口令检测、后台部署war包getshell，该脚本用于查抄Apache Tomcat管理页面的弱密码，并实验通过上传自定义WAR包部署Godzilla Webshell。如果乐成，将记录乐成登录的信息以及获取到的Webshell地址。
下载地址

1. 链接：https://pan.quark.cn/s/2062b75c4312

复制代码

环境安装：
通过以下命令安装所需模块：

1. pip install -r requirements.txt

复制代码

使用方法

• 准备包含URL、用户名和密码的文本文件，分别命名为urls.txt、user.txt和passwd.txt。
  
• urls.txt生存格式：https://127.0.0.1/  或者 https://127.0.0.1/manager/html 脚本会自行判断检测
  
• 在config.yaml中配置文件路径和其他设置。
  
• 运行脚本，将会在success.txt文件中记录乐成的登录信息和Webshell的URL。
  1. python TomcatWeakPassChecker.py

  复制代码

功能

1. CVE-2017-12615 毛病检测

• 工具支持三种利用方式：
  PUT /1.jsp/
  PUT /1.jsp%20
  PUT /1.jsp:DATA
  
• 乐成上传后，工具会实验访问并执行上传的 JSP 文件，判断是否能长途执行代码。
  
• 对每种利用方式的结果分别记录乐成或失败状态。
  

2. 弱口令检测

• 支持通过用户名与密码组合进行弱口令暴力破解。
  
• 若登录乐成，将主动实验上传 Godzilla Webshell，提供长途访问本领。
  
• 登录乐成与否均会详细记录。
  

3. 后台部署 WAR 包 getshell

• 在弱口令破解乐成后，工具会实验通过 Tomcat 管理后台上传 WAR 包，以获取长途代码执行权限。
  
• 部署的 WAR 包会在服务器上解压并生成 JSP Shell 文件，乐成上传后，工具会访问并执行该 Shell。
  
• 支持通过配置文件自定义 WAR 包和 Shell 文件的内容。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。