组件漏洞_扫描检测工具

最新推荐文章于 2024-06-06 18:26:39 发布
最新推荐文章于 2024-06-06 18:26:39 发布
阅读量622 收藏 2
点赞数 2
分类专栏: 漏洞复现 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42786460/article/details/132790538
版权

文章目录

一 漏洞检测工具NACS

1 在对应的目录下进行启动
┌──(kali💋kali)-[~/tools/nacs/0.0.3/nacs_linux_amd64]
└─$ pwd                     
/home/kali/tools/nacs/0.0.3/nacs_linux_amd64
                                                                             
┌──(kali💋kali)-[~/tools/nacs/0.0.3/nacs_linux_amd64]
└─$ ls                 
nacs  output.txt  pocs
                                                                             
┌──(kali💋kali)-[~/tools/nacs/0.0.3/nacs_linux_amd64]
└─$ sudo ./nacs -h 192.168.225.166 -pa 7001   # 启动
2 启动指令返回漏洞扫描结果
┌──(kali💋kali)-[~/tools/nacs/0.0.3/nacs_linux_amd64]
└─$ sudo ./nacs -h 192.168.225.166 -pa 7001
 _  _     ___     ___     ___   
| \| |   /   \   / __|   / __|  
| .  |   | - |  | (__    \__ \
|_|\_|   |_|_|   \___|   |___/  
             Version: 0.0.3
[17:41:17] [INFO] Start to probe alive machines
[17:41:17] [*] Target 192.168.225.166 is alive
[17:41:17] [INFO] There are total of 1 hosts, and 1 are surviving
[17:41:17] [WARNING] Too few surviving hosts
[17:41:17] [INFO] Start to discover the ports
[17:41:23] [*] [TCP/HTTP] [404] [JSP] [Servlet] [Weblogic] http://192.168.225.166:7001 [None]
[17:41:23] [INFO] A total of 1 targets, the rule base hits 1 targets
[17:41:23] [INFO] Start to send pocs to web services (xray type)
[17:41:23] [INFO] Load 397 xray poc(s) 
[17:41:25] [+] http://192.168.225.166:7001 poc-yaml-weblogic-cve-2017-10271 echo
[17:41:27] [+] http://192.168.225.166:7001 poc-yaml-weblogic-cve-2019-2729-1 
[17:42:30] [INFO] Start to process nonweb services
[17:42:30] [INFO] Task finish, consumption of time: 1m13.5994323s
3 翻译中文:

在这里插入图片描述

4 分析后,显示版本及对应的漏洞版本号

在这里插入图片描述

二 漏洞检测工具weblogicSan

1 在github中下载最新的2022年

在这里插入图片描述

2 进行下载

在这里插入图片描述

源工具链接:https://github.com/rabbitmask/WeblogicScan

在这里插入图片描述

3 拉取git进行下载
┌──(kali💋kali)-[~/tools]
└─$ sudo git clone https://github.com/0xn0ne/weblogicScanner.git

如下载连接超时使用如下
┌──(kali💋kali)-[~/tools]
└─$ sudo proxychains git clone https://github.com/0xn0ne/weblogicScanner.git

在这里插入图片描述

4 使用
4.1 使用说明
usage: ws.py [-h] -t TARGETS [TARGETS ...] -v VULNERABILITY
             [VULNERABILITY ...] [-o OUTPUT]

optional arguments:
  -h, --help            帮助信息
  -t TARGETS [TARGETS ...], --targets TARGETS [TARGETS ...]
                        直接填入目标或文件列表(默认使用端口7001). 例子:
                        127.0.0.1:7001
  -v VULNERABILITY [VULNERABILITY ...], --vulnerability VULNERABILITY [VULNERABILITY ...]
                        漏洞名称或CVE编号,例子:"weblogic administrator console"
  -o OUTPUT, --output OUTPUT
                        输出 json 结果的路径。默认不输出结果
  -s, --ssl             强制使用 https 协议请求
4.2 使用指令
┌──(kali💋kali)-[~/tools/weblogicScanner]
└─$ pwd
/home/kali/tools/weblogicScanner
                                                                                              
┌──(kali💋kali)-[~/tools/weblogicScanner]
└─$ sudo python3 ws.py -t 192.168.225.166:7001
4.3 如下图下面是+号的表示存在漏洞

在这里插入图片描述

三 漏洞检测工具nuclei

cd  /home/kali/tools/nuclei/2.9.10

./nuclei                             # 启动检测

./nuclei --help   #帮助文档

./nuclei  -up    #更新

./nuclei -u 192.168.225.166

下图是扫描到的结果

在这里插入图片描述

煜磊
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自己动手编写SQL注入漏洞扫描工具
06-22
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取敏感...
几个查找开源组件CVE的网站和工具
jimmyleeee的专栏
12-06 2190
结果中不仅给了严重的级别,还提供了CVSS,最为重要的是它提供了EPSS,EPSS(漏洞利用预测评分系统)是一种利用CVE信息和真实世界的攻击数据来预测漏洞是否以及何时会被利用的系统。它是一款由OWASP提供的一款免费的查找整个项目含有哪些组件和CVE的工具,根据可能性提供了可能的CVE列表,显示的结果可以是HTML和JSON。不过,针对输出结果需要进一步解析才能得到最直观的信息。不过这个网站用起来不太方便,如果有具体的CVE查找还比较方便,如果查找其他的信息,例如:组件名称和版本以及时间,就不太方便了。
开源组件漏洞检查工具实践分析
发现问题,面对问题,分析问题,解决问题,总结问题
08-28 3933
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目中存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目中使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境中的三方组件依赖资产,并有效管理。支持语言:目前支持 Java、JavaScript、Golang 、Python 语言项目的检测...
打造全自动漏洞赏金扫描工具_nuclei扫描器联动xray
最新发布
喜欢Python编程的程序员柚柚呀
06-06 581
建议在 Digital Ocean 或 vultr 等 VPS 系统上运行这些程序,启一个后台线程即可,建议使用tmux的后台功能这样扫描到重复漏洞会非常少的,也会更加容易获取赏金,将更多的关注新资产漏洞资产侦察 资产收集、端口扫描,去重检测,存活探测,漏洞扫描,全自动化,结果通知,全部自动化了,即使睡觉也在挖洞。
weblogic漏洞扫描工具 反序列化漏洞扫描工具
Innocence_0的博客
03-16 1283
weblogic漏洞扫描工具 反序列化漏洞扫描工具
渗透测试--2.漏洞探测和利用
我是个好人呀,????
05-14 3292
网络漏洞系统漏洞应用漏洞
探索WebLogic扫描工具:KingKaki的Weblogic-scan
gitblog_00014的博客
03-27 838
探索WebLogic扫描工具:KingKaki的Weblogic-scan 项目地址:https://gitcode.com/kingkaki/weblogic-scan 在网络安全日益重要的今天,对应用程序的漏洞检测成为了一项必不可少的任务。WebLogic,作为Oracle公司的一款企业级应用服务器,其安全性直接影响到大量业务系统的稳定运行。为此,我们想要向您推荐一个名为Weblogic-s...
探索WeblogicScanner:自动化安全扫描工具的利器
gitblog_00051的博客
03-24 440
探索WeblogicScanner:自动化安全扫描工具的利器 项目地址:https://gitcode.com/0xn0ne/weblogicScanner WeblogicScanner 是一个基于Python编写的、专为Oracle WebLogic Server设计的安全漏洞扫描器。这款开源项目旨在帮助系统管理员和安全研究人员检测并预防WebLogic服务器上的潜在威胁,以提升安全性。 项目...
weblogic漏洞工具检测上传webshell
m0_53073183的博客
02-02 1560
weblogic 漏洞工具检测上传webshell
log4j2漏洞检测工具
05-07
1. **扫描识别**: 检测工具的主要任务是对项目中的所有相关组件进行扫描,识别出是否使用了受影响的Log4j2版本。这包括检查项目的依赖树,查找可能包含Log4j2的jar包或者模块。 2. **深度分析**: 工具会深入分析...
log4j漏洞扫描工具
01-20
4. **使用Log4j漏洞扫描工具**:对于大型系统或包含大量JAR文件的环境,手动检查每个组件可能不切实际。此时,使用像“log4jscanner”这样的自动化工具可以大大提高效率,减少误报和漏报的风险。 5. **操作步骤**:...
漏洞扫描工具openvas的源码
12-06
OpenVAS(Open Vulnerability Assessment Scanner)是一款开源的网络漏洞扫描器,用于自动发现和评估网络安全弱点。它由多个组件组成,包括Greenbone、Libraries、Manager和Scanner,这些组件共同协作,提供了一套...
漏洞基础知识
weixin_43977912的博客
03-23 1022
I.通用漏洞类型 1.栈溢出 栈溢出是缓冲区溢出的一种,往往由于对缓冲区的长度没有判断,导致缓冲区的大小超过了预定的大小,导致在栈内的保存的返回地址被覆盖,这时候返回地址将指向未知的位置.造成访问异常的错误. 而当我们精心构造一段shellcode保存在某个位置,并且通过滑板指令以及其他特定的方法跳转至shellcode的位置上执行shellcode,此时就可以通过shellcode获取到系统的管理员权限.执行任意代码, windows XP之前的系统可以直接利用,在windows7以后的系统需要构造ROP
WebLogic安装教程
雨陌花开的博客
11-24 4538
一.WebLogic安装教程 1.准备前提 此次教程针对的是webLogic10.3.6,jdk版本为jdk-6u45,操作系统为redhat6.5 X64为系统。需要准备以下文件。 wls1036_generic.jar   weblogic的安装包。 jdk-6u45-linux-x64-rpm.bin  jdk安装版本,1.6有俩个版本,此次选择了bin版本,安装过程基本都一致。
10大漏洞评估和渗透测试工具
A_991128a的博客
10-12 466
专为企业设计的强大的漏洞扫描和管理工具,它可以检测和利用 SQL 注入和 XSS 等漏洞。针对中小型企业的 Web 应用程序漏洞扫描程序,但也可以扩展到更大的组织。它可以检测 SQL 注入、XSS 和其他威胁。Intruder是一种在线漏洞扫描程序,可通过在线自动检测各种漏洞。具有现成利用代码的可靠渗透测试框架,Metasploit 项目提供了大量漏洞利用代码和相关漏洞的信息,可以帮助安全人员识别安全问题、验证漏洞安全性评估。Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。
常见的安全测试漏洞
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-01 2386
以上传 jpg 文件为例,先上传该文件,抓包修改后缀名为实际的后缀名.php,由于上传的时候是 jpg,所以浏览器发送的数据包中,Content-Type 的类型默认为 jpg,那么此时发送的文件就可以绕过后端的检测。(2)判断文件类型。SQL 注入攻击主要是由于程序员在开发过程中没有对客户端所传输到服务器端的参数进行严格的安全检查,同时 SQL 语句的执行引用了该参数,并且 SQL 语句采用字符串拼接的方式执行时,攻击者将可能在参数中插入恶意的 SQL 查询语句,导致服务器执行了该恶意 SQL 语句。
探索WeblogicScan:自动化WebLogic服务器安全扫描工具
gitblog_00075的博客
04-25 454
探索WeblogicScan:自动化WebLogic服务器安全扫描工具 项目地址:https://gitcode.com/rabbitmask/WeblogicScan 项目简介 WeblogicScan 是一个开源项目,专门为检测Oracle WebLogic服务器的安全漏洞而设计。由开发者rabbitmask创建并维护,它旨在帮助系统管理员和安全专家快速、有效地识别WebLogic环境中的潜在...
渗透测试扫描器 -- nacs​
萌兔兔MMQ!!
09-27 1042
3、直接添加目标url: 对10.211.55.7的ssh端口进行爆破,添加用户名密码均为test,爆破成功后执行ifconfig;2、 添加目标IP: 对10.15.196.135机器进行扫描, 手动添加密码, 并关闭反连平台的测试(即不测试log4j等)sudo ./nacs -u url(支持http、ssh、ftp、smb等) -o result.txt。9、自动识别简单web页面的输入框,用于弱口令爆破及log4j的检测(正在写)7、非常规端口的服务扫描和利用(比如2222端口的ssh等等)
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 8480
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
可以对应用使用的中间件及组件进行漏洞扫描工具
06-01
有很多工具可以对应用使用的中间件及组件进行漏洞扫描。以下是几个比较常见的工具: 1. OWASP Dependency-Check:这是一个开源工具,可以检查应用程序依赖的组件是否有已知的漏洞。 2. Retire.js:这是一个 JavaScript 库,可以帮助检测应用程序中使用的 JavaScript 库是否有已知的漏洞。 3. Snyk:这是一个基于云的工具,可以扫描应用程序中使用的依赖关系,并提供有关漏洞和修复建议的详细信息。 4. Black Duck:这是一个商业工具,可以扫描应用程序中使用的依赖关系,并提供有关漏洞和修复建议的详细信息。 5. Qualys Web Application Scanning:这是一个企业级漏洞扫描工具,可以对应用程序进行全面的漏洞扫描,包括检查中间件和组件漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值