Cheetah是一个基于字典的暴力密码webshell工具,运行速度与猎豹猎物一样快。
Cheetah的工作原理是能根据自动探测出的web服务设置相关参数一次性提交大量的探测密码进行爆破,爆破效率是其他普通webshell密码暴力破解工具上千倍。
功能
- 速度快
- 支持python 2.x和python 3.x
- 支持读取大密码字典文件。
- 支持删除大密码字典文件的重复密码。
- 支持Web服务的自动检测。
- 支持强力批量webshell urls密码。
- 支持自动伪造请求头。
- 目前支持php,jsp,asp,aspx webshell。
参数说明
python cheetah.py -h
_________________________________________________ ______ _____ ______ __________ /_ _____ _____ __ /_______ ____ /_ _ ___/__ __ \_ _ \_ _ \_ __/_ __ \ __ __ \ / /__ _ / / // __// __// /_ / /_/ / _ / / / \___/ / / /_/ \___/ \___/ \__/ \____/ / / /_/ /_/ /_/ a very fast brute force webshell password tool. usage: cheetah1.py [-h] [-i] [-v] [-c] [-up] [-r] [-w] [-s] [-n] [-u] [-b] [-p [file [file ...]]] optional arguments: -h, --help show this help message and exit -i, --info show information of cheetah and exit -v, --verbose enable verbose output(default disabled) -c, --clear clear duplicate password(default disabled) -up, --update update cheetah -r , --request specify request method(default POST) -t , --time specify request interval seconds(default 0) -w , --webshell specify webshell type(default auto-detect) -s , --server specify web server name(default auto-detect) -n , --number specify the number of request parameters -u , --url specify the webshell url -b , --url-file specify batch webshell urls file -p file [file ...] specify possword file(default data/pwd.list) use examples: python cheetah.py -u http://orz/orz.php python cheetah.py -u http://orz/orz.jsp -r post -n 1000 -v python cheetah.py -u http://orz/orz.asp -r get -c -p pwd.list python cheetah.py -u http://orz/orz -w aspx -s iis -n 1000 python cheetah.py -b url.list -c -p pwd1.list pwd2.list -v
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
_________________________________________________
______ _____ ______
__________ /_ _____ _____ __ /_______ ____ /_
_ ___/__ __ \_ _ \_ _ \_ __/_ __ \ __ __ \
|