tql!38个常见未授权漏洞检测工具

最新推荐文章于 2024-11-08 13:43:44 发布
最新推荐文章于 2024-11-08 13:43:44 发布
阅读量314 收藏
点赞数
分类专栏: 安全工具 文章标签: python 安全 web安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40456839/article/details/131553240
版权

0x01 工具介绍

这个工具目前集成了38个常用未授权漏洞,有两个版本,一个是带有GUI界面的,一个是命令行版本。支持批量检测,导出结果,命令行还支持多线程,未授权检测目前不包括默认密码检测。

关注【Hack分享吧】公众号,回复关键字【230703】获取下载链接

FTP 未授权访问(21)
LDAP 未授权访问(389)
Rsync 未授权访问(873)
4ZooKeeper 未授权访问(2181)
Docker 未授权访问(2375)
Docker Registry未授权(5000)
Kibana 未授权访问(5601)
VNC 未授权访问(5900、5901)
CouchDB 未授权访问(5984)
Apache Spark 未授权访问(6066、8081、8082)
Redis 未授权访问(6379)
Weblogic 未授权访问(7001)
HadoopYARN 未授权访问(8088)
JBoss 未授权访问(8080)
Jenkins 未授权访问(8080)
Kubernetes Api Server 未授权(8080、10250)
Active MQ 未授权访问(8161)
Jupyter Notebook 未授权访问(8888)
Elasticsearch 未授权访问(9200、9300)
Zabbix 未授权访问(10051)
Memcached 未授权访问(11211)
RabbitMQ 未授权访问(15672、15692、25672)
MongoDB 未授权访问(27017)
NFS 未授权访问(2049、20048)
Dubbo 未授权访问(28096)
Druid 未授权访问
Solr 未授权访问
SpringBoot Actuator 未授权访问
SwaggerUI未授权访问漏洞
Harbor未授权添加管理员漏洞
Windows ipc共享未授权访问漏洞
宝塔phpmyadmin未授权访问
WordPress未授权访问漏洞
Atlassian Crowd 未授权访问
PHP-FPM Fastcgi未授权访问漏洞
uWSGI未授权访问漏洞
Kong未授权访问漏洞
ThinkAdminV6未授权访问漏洞

0x02 Gui版使用

pip install -r requestments.txt
python3 main.py

UNauthorizedV2

 0x03 命令行版使用

cd unauthorized_com
pip install -r requestments.txt
python unauthorized_com.py

可设置线程,检测单个服务

潇湘信安
关注
专栏目录
打算放弃Python、D3可视化,这个可视化工具tql
qq_21478261的博客
12-26 1809
D3的酷炫延续到Excel中?
常见授权漏洞批量检测工具
weixin_46211944的博客
06-26 1203
命令行版已放出支持多线程,批量扫描,指定服务扫描,命令行版地址https://github.com/xk11z/unauthorized_com。10 、Apache Spark 授权访问(6066、8081、8082)22 、RabbitMQ 授权访问(15672、15692、25672)19 、Elasticsearch 授权访问(9200、9300)24 、NFS 授权访问(2049、20048)4 、ZooKeeper 授权访问(2181)8 、VNC 授权访问(5900、5901)
渗透面试题
热门推荐
China_C_boss的博客
01-18 6万+
思路流程 信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文...
授权访问漏洞的检测与利用
Yanug
05-07 2997
一、redis授权访问漏洞 漏洞描述 redis安装完以后,默认是没有账号密码的(安装redis详细可参考:redis相关笔记,如果redis是以root权限去运行,则可以被反弹shell或者写入ssh密钥,从而被获取服务器的权限。 漏洞检测 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host,port)) ...
tql!AD域渗透信息收集可视化工具
潇湘信安的博客
07-18 278
adalanche是一款ad域中的ACL可视化及利用工具,和BloodHound功能类似,能方便域渗透人员快速发现域中的弱点;有开源版和商业两个版本。
Hadoop Yarn RPC授权访问漏洞
m0_67392273的博客
08-16 532
Apache Hadoop YARN (Yet Another Resource Negotiator)是一种新的 Hadoop 资源管理器,它是一个通用资源管理系统,可为上层应用提供统一的资源管理和调度,它的引入为集群在利用率、资源统一管理和数据共享等方面带来了巨大好处。同时由于Hadoop Yarn RPC服务访问控制机制开启方式与REST API不一样,因此即使在 REST API有授权认证的情况下,RPC服务所在端口仍然可以授权访问。...
tql!分享一个Linux权限维持神器!!
潇湘信安的博客
09-19 338
通过渗透拿到权限之后,为了不让权限丢失,都会进行权限维持,而在进行权限维持的时候,红队需要花费大量的时候,来验证是否合适,因此在这款工具就诞生 HackerPermKeeper[黑客权限保持者]
tql!红队批量脆弱点信息搜集工具
潇湘信安的博客
07-19 161
指纹识别:调用“三米前有香蕉皮“前辈工具,他的工具比finger好用;寻找资产中404,403,以及网页中存在的其他薄弱点,以及需要特定路径访问的资产;后续会把nuclei加进来;目前只有windows可以用。
tql!读取本机对外RDP连接记录工具
潇湘信安的博客
09-17 129
C# 读取本机对外RDP连接记录和其他主机对该主机的连接记录,从而在内网渗透中获取更多可通内网网段信息以及定位运维管理人员主机。
tql是TypeScript GraphQL查询生成器。-JavaScript开发
05-26
TQL – TypeScript TQL中无代码生成和类型安全的GraphQL操作注意:这是目前的预生产软件,请参阅当前限制。 tql是TypeScript GraphQL查询生成器。 一次Codegen-仅在架构更改时才重新生成GraphQL API客户端。 完全...
TQL-scalameta:scala.meta 树的组合查询语言
06-28
TQL(遍历查询语言) Scala 中可遍历数据结构的组合查询/转换语言,特别是树。 该库包含一组组合器,您可以组合它们以遍历或转换您的数据结构。 有关其内部工作原理的更多信息或详尽的组合器列表,请查看 。 该...
tql:使用TypeScript编写类型安全的GraphQL查询
02-02
TQL 注意:这是目前的预生产软件,请参阅。 tql是TypeScript GraphQL查询生成器。 一次Codegen-仅在架构更改时才重新生成GraphQL API客户端。 完全类型安全-充分利用TypeScript的高级类型系统的全部功能。 无后...
【anaconda】使用记录
zhuyan108的博客
11-05 324
window11 下安装anaconda。
python GUI编码入门-21】如何用Tkinter创建一个记事本应用
最新发布
木头大左的博客
11-08 19
在现代编程环境中,图形用户界面(GUI)应用程序的开发变得越来越重要。Python的Tkinter库是一个功能强大且易于使用的GUI工具包,非常适合初学者和有经验的开发者使用。本文将详细介绍如何使用Tkinter创建一个简易的记事本应用,涵盖从安装到实现各项功能的全过程。Tkinter是Python的标准GUI库,它提供了丰富的接口来创建窗口、对话框、按钮等常见的GUI组件。Tkinter具有良好的跨平台性,可以在Windows、Mac OS和Linux上运行。
智能化运维的来:AI和机器学习在运维中的应用
Echo_Wish的博客
11-05 357
AI和机器学习在运维中的应用,不仅提高了运维效率和质量,还为企业的数字化转型提供了强有力的技术支持。通过预测性维护、自动化运维、异常检测和智能告警等应用,企业可以更好地管理和优化其IT基础设施,确保系统的高效、稳定运行。希望本文能为读者提供有价值的参考,帮助你在运维实践中更好地应用AI和机器学习技术。如果有任何问题或需要进一步讨论,欢迎交流探讨。让我们共同推动智能运维的发展,实现更高效、更智能的运维管理。
一次薅国家超算平台的记录
weixin_55179972的博客
11-07 305
参与 谁是下一个“AI”跃人 -AI体验推介活动,赢取千元算力券!(https://www.scnet.cn/home/subject/modular/index270.html)2. Clone开源的Llama3 Chinese (https://github.com/LlamaFamily/Llama-Chinese)活动名称主题:国家超算互联网「AI跃升季」:谁是下一个“AI”跃人 - AI算力体验活动。其中位置1,2替换为商品基模型和训练出来的微调模型。模型改为商城下载的模型。2、运行的过程记录。
Python 类和对象
疯一样的码农
11-04 741
Python 中,类是一个对象创建的蓝图。它指定了对象(实例)将具有的属性和方法的集合。类通过封装数据和行为,促进了代码的组织、复用和模块化。使用类可以建模现实世界中的对象,定义其属性,并更有效地控制应用程序的复杂性。在 Python 中,一切都是对象,所有的数据类型和结构都是特定类的实例。对象是类的实例,具有用于修改数据的方法和存储数据的属性。理解对象对于掌握 Python 中的面向对象编程(OOP)范式至关重要。
Python小游戏21——拼图小游戏
cxh666888_的博客
11-05 1026
如果图像大小不同,你需要调整tile_size和图像缩放代码。初始化Pygame:使用pygame.init()来初始化Pygame库,这是使用Pygame进行任何游戏开发的第一步。更新屏幕:使用pygame.display.flip()或pygame.display.update()来更新屏幕显示。调整图像大小:使用pygame.transform.scale()来调整图像的大小,以适应拼图游戏的需求。设置屏幕尺寸:使用pygame.display.set_mode()来设置游戏的屏幕尺寸和模式。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 50
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合时,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此时最优元素值为0。第 2 行为每个充电设备的输出功率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值