常见的未授权漏洞批量检测工具

最新推荐文章于 2024-05-16 09:41:35 发布
最新推荐文章于 2024-05-16 09:41:35 发布
阅读量944 收藏 1
点赞数
分类专栏: 安全工具 文章标签: 渗透测试 网络安全 web安全 测试工具 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46211944/article/details/131391425
版权

常见的未授权漏洞检测

命令行版已放出支持多线程,批量扫描,指定服务扫描,命令行版地址https://github.com/xk11z/unauthorized_com 

GUI版unauthorizedV2已更新,可批量ip检测导出结果

项目包含

1 、FTP 未授权访问(21)
2 、LDAP 未授权访问(389)
3 、Rsync 未授权访问(873)
4 、ZooKeeper 未授权访问(2181)
5 、Docker 未授权访问(2375)
6 、Docker Registry未授权(5000)
7 、Kibana 未授权访问(5601)
8 、VNC 未授权访问(5900、5901)
9 、CouchDB 未授权访问(5984)
10 、Apache Spark 未授权访问(6066、8081、8082)
11 、Redis 未授权访问(6379)
12 、Weblogic 未授权访问(7001)
13 、HadoopYARN 未授权访问(8088)
14 、JBoss 未授权访问(8080)
15 、Jenkins 未授权访问(8080)
16 、Kubernetes Api Server 未授权(8080、10250)
17 、Active MQ 未授权访问(8161)
18 、Jupyter Notebook 未授权访问(8888)
19 、Elasticsearch 未授权访问(9200、9300)
20 、Zabbix 未授权访问(10051)
21 、Memcached 未授权访问(11211)
22 、RabbitMQ 未授权访问(15672、15692、25672)
23 、MongoDB 未授权访问(27017)
24 、NFS 未授权访问(2049、20048)
25 、Dubbo 未授权访问(28096)
26 、Druid 未授权访问
27 、Solr 未授权访问
28 、SpringBoot Actuator 未授权访问
29 、SwaggerUI未授权访问漏洞
30 、Harbor未授权添加管理员漏洞
31 、Windows ipc共享未授权访问漏洞
32 、宝塔phpmyadmin未授权访问
33 、WordPress未授权访问漏洞
34 、Atlassian Crowd 未授权访问
35 、PHP-FPM Fastcgi未授权访问漏洞
36 、uWSGI未授权访问漏洞
37 、Kong未授权访问漏洞
38 、ThinkAdminV6未授权访问漏洞

代码规范,可以自己添加其他漏洞检测

Usage

pip install -r requestments.txtpython3 main.py

Screenshot

UNauthorizedV2

 工具下载地址常见的未授权漏洞批量检测工具icon-default.png?t=N5K3https://mp.weixin.qq.com/s/0UYEtJq_qT3o3RKLwX1VkQ

HACK之道
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x-scan mysql_X-SCAN扫描器插件(MYSQL弱口令以及Mongodb授权)
weixin_42401281的博客
01-19 251
因为在很多时候的内网扫描里面没有授权的WIN的好用的,稍微小点的弱口令扫描器(生成报告,多种服务),编译成了插件,再自己弄了个MONGODB的扫描插件用着。X-SCAN加载以后:MONGODB.plug:MYSQL.plug:扫描:X-SCAN Scan Plugs1、MYSQL弱口令扫描2、MONGODB授权扫描站长大牛的肩上ph4_yunshuCrack_Mysql插件:Crack_Mysq...
IDT 一款自动化挖掘授权访问漏洞的信息收集工具
cike_y
10-02 2369
IDT 意为 Interface detection(接口探测)该工具主要的功能是对批量url或者接口进行存活探测,支持浏览器自动打开指定的url,避免手动重复打开网址。只需输入存在批量的url文件即可。
推荐开源项目:Swagger API Exploit 1.1 - 精准探测REST API安全漏洞
最新发布
gitblog_00053的博客
05-16 291
推荐开源项目:Swagger API Exploit 1.1 - 精准探测REST API安全漏洞 项目地址:https://gitcode.com/lijiejie/swagger-exp 项目介绍 Swagger API Exploit 1.1 是一款强大的RESTful API安全审计工具,专为开发者和安全人员设计。它能够自动化地遍历和测试Swagger定义的API接口,识别可能存在的安全风...
Redis授权漏洞检测工具
09-02 813
Redis授权检测小工具 #!/usr/bin/python3 # -*- coding: utf-8 -*- """ @Author: r0cky @Time: 2019/9/2-17:35 """ import socket import sys passwds = ['redis','root','oracle','password','p@ssw0rd','abc123!',...
测试rsync授权访问漏洞批量检测
m0_53073183的博客
01-31 618
rsync 是 Linux 下一款数据备份工具,支持通过 rsync 协议、ssh 协议进行远程文件 传输。其中 rsync 协议默认监听 873 端口,如果目标开启了 rsync 服务,并且没有配 置 ACL 或访问密码,我们将可以读写目标服务器文件。
授权漏洞批量扫描poc
qq_45300786的博客
08-15 2207
一般来说我们检验是否存在漏洞,都是一个个的检验。但是如果遇到了目标有很多,这个怎么办呢? 这里提供2个思路 一、msf的扫描 找到 1.1、指定文件ip扫描 192.168.100.222 192.168.100.223 192.168.100.224 192.168.100.225 192.168.100.226 这样一行一行写入文本 1.2、指定网络段ip扫描 一般都是扫C段,也就是/24就行了,尽量不要去搞A(8)、B段(16),太多了 二、楼主这里提供一些批量poc import socket
Redis 授权访问漏洞与getshell(附getshell检测工具
告白的博客
02-24 3947
Redis 简介. Redis 是完全开源免费的,遵守 BSD 协议,是一个灵活的高性能 key-value 数据结构存储,常见用来作为数据库,其在安全配置问题上存在一些问题,如常见授权范围与Pickle反序列化
3389漏洞批量检测工具
01-17
3389远程桌面代码执行漏洞CVE-2019-0708批量检测工具(Rdpscan Bluekeep Check)
thinkphp漏洞一键检测工具最新版
03-23
thinkphp漏洞检测工具漏洞POC基本适用ThinkPHP全版本漏洞
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
基于Python实现的Zoneminder 授权访问批量检测工具源代码
09-20
基于Python实现的Zoneminder 授权访问批量检测工具源代码 ZoneMinder v1.30和v1.29捆绑的Apache HTTP Server配置中存在信息泄露和认证绕过漏洞,允许远程认证攻击者浏览web根目录下的所有目录。 使用方法 1.将...
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
Struts 2 全版本漏洞检测工具 18.09 过waf版
02-09
3、S2-020、S2-021仅提供漏洞扫描功能,因漏洞测试方法很大几率造成网站访问异常,本程序提供。 4、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。 5、作者...
redis 授权访问 弱口令批量扫描工具
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
04-11 1312
redis 授权访问 弱口令批量扫描工具 项目地址github 输入:input_data.txt,格式为ip:port 命令: 1、redis unauthorized access scan python3 redis_scan.py -u 2、redis weak password scan python3 redis_scan.py -w 扫描方式:多线程,每个弱口令扫描一遍所有ip,类似密码喷洒 ...
宝塔linux phpmyadmin,宝塔面板授权访问phpMyAdmin(附批量脚本)
weixin_42393929的博客
05-16 324
一、影响版本Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响)二、修复方案或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):curl https://download.bt.cn/install/update_panel.sh|bash离线升级步骤:下载离线升级包:http://down...
CVE-2017-7921 海康威视(Hikvision) 摄像头漏洞复现
菜鸟学渗透
05-22 8329
这是一个海康威视摄像头后台管理授权漏洞,通过构造URL可绕过登录查看监控,检索所有用户和配置文件下载,并获取到监控后台管理账号和密码。
授权访问】我就这么容易被曝光了吗?
热门推荐
kimol君的博客
08-06 2万+
授权访问】我怎么被监控了?前言一、洞穿一切1.获取用户名2.下载摄像头配置文件3.获取监控快照二、Fofa无边三、双管齐下1.爬取设备信息2.自动化检测写在最后 前言 时光转瞬,上一篇文章的时间定格在了半年前的情人节。由于各种原因,已经好久没有更新文章了,承蒙大家的喜爱,陆续收到了许多小伙伴的“催更”。有一说一:“心里是暖的❤️”。 愿今后自己可以不忘初心,继续前行,将心中的一些想法,一些感受,一些技巧,一些故事与大家分享。 恰巧前不久看到某康威视网络摄像头存在漏洞,于是,作为对万物充满好奇的少年,
Hikvision IVMS-8700 任意文件上传(含批量验证poc),字节跳动学习笔记
2301_76223496的博客
04-15 446
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
swagger接口需要权限验证解决方案
ybb_ymm的专栏
03-15 1万+
背景:当我们在使用swagger的情况下,经常会遇到需要授权或者请求带有token才可以访问接口,这里我们就是解决授权问题。 废话不多说,我们直接给出解决方案,具体代码如下: import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import springfox.documentation.builders.ApiInfoBuild
dede漏洞批量检测
10-27
dede是一款开源的PHP内容管理系统,由于其流行度较高,黑客们经常针对dede进行攻击。而dede漏洞批量检测是指对大量的dede网站进行漏洞检测的过程。 批量检测可以提高效率,同时也能更好地保护网站的安全批量检测dede漏洞的方法有多种,以下是一些常见的步骤: 1. 收集目标网站:可以通过搜索引擎、在线资产收集工具等方式,获取大量的dede网站。 2. 确定漏洞版本:dede有多个版本,每个版本可能存在不同的漏洞。针对不同版本,需要使用不同的漏洞检测方法。 3. 搭建漏洞检测环境:需要运行dede的环境,可以在本地搭建一个虚拟机环境,或者使用在线的dede漏洞检测平台。 4. 使用漏洞扫描工具:有一些自动化漏洞扫描工具可以对dede进行批量漏洞检测,如acunetix、nessus等。这些工具会自动识别网站的漏洞版本,并对其进行检测。 5. 手动验证漏洞:自动化工具可能会有误报或漏报的情况,因此需要一定的人工验证。可以使用一些漏洞验证脚本,如基于已知漏洞利用的POC工具,对检测出的漏洞进行确认。 总之,dede漏洞批量检测是通过收集目标网站,确定漏洞版本,搭建环境,使用自动化漏洞扫描工具和手动验证漏洞等多个步骤来进行的。这样可以快速、高效地发现和修复dede网站的安全漏洞,提高网站的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值