1. 程式人生 > >CMS漏洞檢測工具 – CMSmap

CMS漏洞檢測工具 – CMSmap

CMSmap是一個Python編寫的針對開源CMS(內容管理系統)的安全掃描器,它可以自動檢測當前國外最流行的CMS的安全漏洞。 CMSmap主要是在一個單一的工具集合了不同型別的CMS的常見的漏洞。CMSmap目前只支援WordPress,Joomla和Drupal。 

 

主要功能

1.其可以檢測目標網站的cms基本型別,CMSmap預設自帶一個WordPress,Joomla和Drupal外掛列表,所以其也可以檢測目標網站的外掛種類;
2.Cmsmap是一個多執行緒的掃描工具,預設執行緒數為5;
3.工具使用比較簡單,命令列的預設的強制選項為target URL;
4.工具還集成了暴力破解模組;
5.CMSmap的核心是檢測外掛漏洞,其主要是通過查詢資料庫漏洞網站(www.exploit-db.com)提供了潛在的漏洞列表。

 

執行截圖

 

 暴力破解如下圖:

 

Cmsmap檢測到一個可以上傳外掛的使用者的標示(可能是admin),cmsmap就會上傳一個webshell。下圖可能cmsmap的wp外掛安裝列表:

除了具有有效的憑證,在這訪問webshell的攻擊者能夠執行作業系統命令,並試圖進一步提權。

 

下載地址

https://github.com/dionach/CMSmap

 

寫在最後

Cmsmap可以上傳使用者自定義的webshell,CMSmap還支援WordPress的和Joomla密碼雜湊的離線暴力破解。牛逼的python大牛們,可以嘗試,將我們國內的cms的漏洞寫工具中。 

轉載來自FreeBuf黑客與極客(FreeBuf.COM)