CMSmap是一個Python編寫的針對開源CMS（內容管理系統）的安全掃描器，它可以自動檢測當前國外最流行的CMS的安全漏洞。 CMSmap主要是在一個單一的工具集合了不同型別的CMS的常見的漏洞。CMSmap目前只支援WordPress，Joomla和Drupal。 

主要功能

1.其可以檢測目標網站的cms基本型別，CMSmap預設自帶一個WordPress，Joomla和Drupal外掛列表，所以其也可以檢測目標網站的外掛種類；
2.Cmsmap是一個多執行緒的掃描工具，預設執行緒數為5；
3.工具使用比較簡單，命令列的預設的強制選項為target URL；
4.工具還集成了暴力破解模組；
5.CMSmap的核心是檢測外掛漏洞，其主要是通過查詢資料庫漏洞網站（www.exploit-db.com）提供了潛在的漏洞列表。
 

執行截圖

 暴力破解如下圖：

Cmsmap檢測到一個可以上傳外掛的使用者的標示（可能是admin），cmsmap就會上傳一個webshell。下圖可能cmsmap的wp外掛安裝列表：

除了具有有效的憑證，在這訪問webshell的攻擊者能夠執行作業系統命令，並試圖進一步提權。

下載地址

https://github.com/dionach/CMSmap

寫在最後

Cmsmap可以上傳使用者自定義的webshell，CMSmap還支援WordPress的和Joomla密碼雜湊的離線暴力破解。牛逼的python大牛們，可以嘗試，將我們國內的cms的漏洞寫工具中。 

轉載來自FreeBuf黑客與極客（FreeBuf.COM）