Kali linux渗透测试系列————19、Kali linux 漏洞映射之诊断CMS服务漏洞

最新推荐文章于 2024-05-22 19:47:02 发布
最新推荐文章于 2024-05-22 19:47:02 发布
阅读量1.5k 收藏 11
点赞数
分类专栏: # 高级测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/79834272
版权

CMS

CMS是Content Management System的缩写,它可应用于博客或履历管理系统等。韩国国内很多人都在使用WordPress,因为它是几乎全部公开的平台,所以尤其需要定期检查可能发生的漏洞。本节将介绍CMS代表工具joomla和WordPress漏洞诊断的方法,希望对大家有所帮助。

Joomscan:收集服务漏洞信息

jomscan是基于签名的扫描器,它以开源的CMS服务joomal的Sql注入、命令执行、XSS对象,试试joomla目录搜索和漏洞检测。Joomla适合电子商务、网上购物、论坛等各类网站,是使用较为普遍的CMS。网站使用的是众所周知的漏洞——数据库。joomscan具有构成要素、插件、组件、外观等4个基本扩展名。

joomscan的一些使用说明:



来测试一个:



WPScan:收集服务漏洞信息

WPScan是WordPress Scan的缩写,它是使用php语言开发而成的公开博客服务。最近介绍WordPress的书很多,这已经证明它在韩国国内也是用户群众比较广泛的代表性开源平台。


此处对WPScan的参数就不再过多的介绍了,有兴趣的可以自己去看看相关的参数说明,只要在kali中运行以下wpscan就可以看到其使用说明文档。

WhatWeb:收集服务信息

WhatWeb是Web系统识别工具,它可以识别CMS、博客平台、统计和分析数据包、JavaScript库、网络服务器和嵌入式装备等网络技术。WhatWeb中包含可以识别各种技术的1000多个插件。另外,它还会查看版本编号、邮箱地址、账户ID、网络框架组件、SQL错误等。

Whatweb支持可控制速度与安全性权衡的攻击级别。搜索网站时,可以利用相关技术获得更多信息。


实例:查询Baidu


FLy_鹏程万里
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kali Linux 网络安全渗透测试
06-02
为什么学网络安全?1. 市场巨大每年各安全厂商收入高达400亿左右,随着5G的发展,万物互联时代,市场将进一步扩大。2. 薪资高网安人才的匮乏,用人开出招聘薪资往往高于求职者的预期。3. 靠能力说话在网络安全专业,专业技能竞争力要远高于学历本身。在网安专业只看能力不看学历也成了大家公认的原则。 网络安全未来10年的发展前景现代人的生活与网络息息相关,个人、企业信息的安全显示尤为重要,2018年报告的信息安全事件比2017年有所增加,一年几千万次。应对网络安全挑战,已越来越被重视。不管你是否从事网络安全行业相关工作,信息安全都显得越来越重要。 注意:视频教学内容仅用于网络安全渗透测试。其他行为,自己承担相应的责任,与作者无关。 
kalilinux手机/如何进行安卓渗透测试平台Kali的搭建_新手漏洞自学路线
最新发布
2401_84915584的博客
06-13 679
如何进行安卓渗透测试平台Kali的搭建:本文讲解
kail linux中的渗透测试工具
任浩的博客
02-15 2765
1、Nmap Nmap Nmap(即 “网络映射器”)是 Kali Linux 上最受欢迎的信息收集工具之一。换句话说,它可以获取有关主机的信息:其 IP 地址、操作系统检测以及网络安全的详细信息(如开放的端口数量及其含义)。 它还提供防火墙规避和欺骗功能。 2、Lynis Lynis Lynis 是安全审计、合规性测试和系统强化的强大工具。当然,你也可以将其用于漏洞检测和渗透测试。 它将根据检测到的组件扫描系统。例如,如果它检测到 Apache —— 它将针对入口信息运行与 Apache 相关的测试。
2024年最新kali Linux安装教程(超详细,图文并茂)
2401_84578953的博客
05-22 1682
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
如何在kali中使用自动扫描器
2303_77686186的博客
10-10 407
几乎每个渗透测试项目都必须遵循一个严格的时间表,主要由客户的需求或开发交付日期决定。对于渗透测试人员来说,拥有一个能够在短时间内对应用程序执行大量测试的工具是非常有用的,这样可以在计划的时间内识别尽可能多的漏洞。自动漏洞扫描器成为了最佳选择。它们还可以用来寻找开发替代方案,或者确保在渗透测试中没有留下明显的东西。
什么是CMS(内容管理系统)?
cunjiu9486的博客
10-13 5828
Content Management System or CMS is a software that is used to create, edit, update web content easily. In the old days, web contents were simple static HTML, CSS, and JavaScript pages where the conte...
Kali工具正式篇 (第二章-4) 信息收集之CMS指纹识别
weixin_48617547的博客
06-21 2123
目录: 一、指纹识别 二、WAF 三、CDN 一:指纹识别 Q:什么是CMS和指纹识别? A:快速搭建网站的内容管理系统,快速二次开发的Web应用框架,例如网站、小程序。 Q:指纹的特性是什么? A:1.唯一性 2.终身不变性 3.方便性 Q:在线和离线的方式收集指纹信息有哪些? A:1、云悉在线: http://www.yunsee.cn 2、hatweb: http://www.whatweb.net 3、 插件:wappalyzer https://www.wappalyzer.com 4、 脚本:
渗透测试之网站cms识别大法汇总
热门推荐
白帽子九一
04-13 1万+
云悉相信大家都知道,但其库总有限。再给大家介绍kali自带的一款工具— whatweb 一、安装命令: apt-get insatll whatweb 二、用法: 1、扫描单个目标 whatweb www.xxx.com 2、扫描多个目标,并将结果保存在txt 新建xxx文件,输入多个目标地址,保存 whatweb -i xxx --log-brief=111.txt ......
Kali Linux渗透测试高级篇.rar
09-12
Kali Linux 是一款专门用于IT安全评估的Linux操作系统。目前作为被欢迎的Linux操作系统广泛用于安全评估项目中,其中提供600+安全工具,...课程主要内容:学习Kali Linux安全测试使用工具的使用,以及高级技巧的使用
Kali Linux渗透测试技术详解
02-19
第1篇为Iinux安全渗透测试基础,介绍了Linux安全透简介、安装及配置KaliLinux 操作系统、配置目标测试系统:第2篇为信息的收集及利用,介绍了信息收集、漏洞扫描、漏洞利用等技术:第3篇为各种渗透测试,介绍了权限...
基于Kali Linux渗透测试.pdf
09-06
基于Kali Linux渗透测试.pdf 本文档总结了基于Kali Linux渗透测试的知识点,涵盖了渗透测试的概念、方法、工具和过程等方面。 1. 渗透测试的概念 渗透测试是一种评估计算机网络系统安全的方法,通过模拟恶意...
50-50.渗透测试-Kali Linux漏洞利用
05-10
50-50.渗透测试-Kali Linux漏洞利用
web渗透-kali linux使用自动扫描器
2301_78324752的博客
10-29 2500
通常我们用openvas和nusses等漏洞扫描器时,它会扫描目标系统的开放端口,并识别运行服务及版本,它不会发送恶意的payload。而web漏洞扫描器提交参数时,即使扫描策略进行过测试,payload被认为是安全的,但有些数据依然有可能影响到程序的完整性和稳定性。因此,在利用自动化扫描工具时,需要特别小心。1:优先选择测试环境,而不是生产环境。这样如果发生错误,就不会影响到真实的数据。2:做好恢复机制,在发生问题时可以恢复数据和代码。3:定义扫描范围。
判断是否是已知的CMS或者框架
dzqxwzoe的博客
03-01 190
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
CMS漏扫工具
qq_45883910的博客
10-16 1280
wpscan wpscan是一款专门针对WordPress(CMS的一种)安全扫描器 kali中一款漏洞扫描工具,采用Ruby编写,wpscan是一款专门针对WordPress安全扫描器,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。 使用wpscan扫描用户: 命令:wpscan --url http://dc-2 --enumerate u #暴力枚举用户名。 命令2:wpscan --ignore-main-redirect --url
信息收集-CMS识别
m0_37856131的博客
02-14 9305
信息收集-CMS识别
渗透测试之指纹识别(CMS、CDN、WAF)
hmysn的博客
05-15 5612
目录 什么是指纹识别: 1、cms指纹识别 2、cdn指纹识别: 3、WAF指纹识别: 什么是指纹识别: 通过关键特征,识别出目标的CMS系统、服务器、开发语言、操作系统、CDN、WAF的类别 版本等等。 其中主要识别以下的信息: 1、CMS信息:比如Discuz、织梦、帝国CMS、PHPCMS、ECshop等; 2、前端技术:比如HTML5、jquery、bootstrap、Vue、ace等; 3、开发语言:比如PHP、Java、Ruby、Python、C#等; 4、Web服务器:比
利用kali Linux复现永恒之蓝(MS17-010)漏洞
YRYUNO_1的博客
01-11 1801
复现永恒之蓝(ms17-010)漏洞,并利用此漏洞控制受害机器进行截屏和远程桌面操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值