【工具推荐】TomcatWeakPassChecker v2.2(最新版本) - Tomcat 漏洞一键漏洞利用getshell

最新推荐文章于 2024-09-09 15:40:48 发布
最新推荐文章于 2024-09-09 15:40:48 发布
阅读量431 收藏 10
点赞数 3
文章标签: tomcat web安全 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58203004/article/details/141932649
版权

工具介绍:
一键tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell地址。

下载地址

链接:https://pan.quark.cn/s/2062b75c4312

环境安装
通过以下命令安装所需模块:

pip install -r requirements.txt

使用方法

  1. 准备包含URL、用户名和密码的文本文件,分别命名为urls.txtuser.txtpasswd.txt

  2. urls.txt保存格式:https://127.0.0.1/ 或者 https://127.0.0.1/manager/html 脚本会自行判断检测

  3. config.yaml中配置文件路径和其他设置。

  4. 运行脚本,将会在success.txt文件中记录成功的登录信息和Webshell的URL。

    python TomcatWeakPassChecker.py

在这里插入图片描述

功能

1. CVE-2017-12615 漏洞检测

  • 工具支持三种利用方式:

    PUT /1.jsp/

    PUT /1.jsp%20

    PUT /1.jsp::$DATA

  • 成功上传后,工具会尝试访问并执行上传的 JSP 文件,判断是否能远程执行代码。

  • 对每种利用方式的结果分别记录成功或失败状态。

2. 弱口令检测

  • 支持通过用户名与密码组合进行弱口令暴力破解。
  • 若登录成功,将自动尝试上传 Godzilla Webshell,提供远程访问能力。
  • 登录成功与否均会详细记录。

3. 后台部署 WAR 包 getshell

  • 在弱口令破解成功后,工具会尝试通过 Tomcat 管理后台上传 WAR 包,以获取远程代码执行权限。
  • 部署的 WAR 包会在服务器上解压并生成 JSP Shell 文件,成功上传后,工具会访问并执行该 Shell。
  • 支持通过配置文件自定义 WAR 包和 Shell 文件的内容。
漏洞文库-Web安全
关注
这才是真正D.S.T内部用的(tomcat漏洞)扫描工具
07-01
这才是真正D.S.T内部用的(tomcat漏洞)扫描工具解压缩密码: vip2008
Tomcat+弱口令&后台Getshell漏洞复现
weixin_60329395的博客
08-03 1216
漏洞影响范围:Tomcat 8.0版本、漏洞类型:弱口令、任意文件上传、漏洞成因:在tomcat8环境下,默认的后台密码为tomcat:tomcat,未修改默认密码就会造成未经授权的后台访问。后台存在war包绕过
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4562
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
tomcat漏洞利用工具
白昼小丑的博客
11-20 2202
弱口令爆破加上全路径:/manager或/host-managertomcat-pass-getshell 弱认证部署war包。CVE-2020-1938 Tomcat 文件读取/包含。CVE-2017-12615 PUT文件上传漏洞Tomcat 漏洞检测工具
如何使用ApacheTomcatScanner扫描Apache Tomcat服务器漏洞
顶峰
02-28 2611
1、支持使用多线程Worker搜索Apache Tomcat服务器;2、支持扫描多个目标:支持接收一个Windows域中的目标计算机列表,支持从文件按行读取目标,支持使用–t/–target选项读取单个目标(IP/DNS/CIDR);3、支持自定义即设置端口列表;4、支持测试/manager/html访问和默认凭证;5、支持使用–list-cves选项查看每个版本的CVE漏洞信息;1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。
Tomcat漏洞三剑客
m0_67284865的博客
07-02 671
Tomcat 支持通过后端部署 war 文件,所以我们可以直接将 webshell 放入 Web 目录下。为了访问后端,需要权限。Tomcat7+ 的权限如下:manager(后台管理)manager-gui 拥有html页面权限manager-status 拥有查看status的权限manager-script 拥有text接口的权限,和status权限manager-jmx 拥有jmx权限,和status权限host-manager(虚拟主机管理)
Tomcat漏洞利用工具-TomcatVuln
siu~
04-18 1762
CVE-2017-12615 PUT文件上传漏洞 tomcat-pass-getshell 弱认证部署war包 弱口令爆破 CVE-2020-1938 Tomcat 文件读取/包含
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
漏洞利用工具如压缩包中的"jbosscve-2017-12149",是安全研究人员或渗透测试者用来检测和测试系统是否受到该漏洞影响的工具。这些工具通常包含精心设计的恶意序列化数据,以及用于触发和验证漏洞利用的脚本。它们...
tomcat 7 最新版本 apache-tomcat-7.0.109
07-07
当你解压下载的`apache-tomcat-7.0.109`压缩包后,你会得到一个包含所有运行所需文件的目录结构。其中,`bin`目录包含了启动和停止Tomcat的脚本,`conf`目录存储配置文件,`webapps`目录用于放置Web应用程序,而`lib...
apache-tomcat-8.5.51.tar.gz(官方宣布最新无漏洞版本)
02-23
apache-tomcat-8.5.51.tar(官方宣布最新无漏洞版本) 2020 年 2 月 4 日,Apache Tomcat 官方发布了新的版本,该版本修复了一 个影响所有版本(7.*、8.*、9.*)的文件包含漏洞,但官方暂未发布安全公告 2020 年 2 ...
tomcat远程命令攻击的漏洞与利用
05-05
内容原创。但是主要还是根据网上已有的思路去做的实验。这个文件比较详细,能够解决一般网上其他教程出现的问题。仅供学习。
apache-tomcat-7.0.109版本
09-23
在这个特定的场景中,我们关注的是Apache Tomcat的7.0.109版本,这个版本的发布主要是为了修复一系列的安全漏洞,其中最引人关注的是CVE-2020-1938。 CVE-2020-1938是2020年公开的一个严重安全漏洞,被称为“Tomcat...
CVE-2020-1938 漏洞利用工具(POC)
09-12
1. **更新Tomcat版本**:最有效的防御方法是及时更新Apache Tomcat到最新修复了该漏洞的版本。对于受影响的版本,官方已经发布了安全补丁。 2. **配置限制**:禁用不必要的文件服务,例如JSP解析,只允许处理应用...
网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(2)
m0_60607245的博客
04-06 978
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
Tomcat漏洞分析利用
weixin_43047908的博客
08-19 1779
目录前言环境搭建漏洞复现CVE-2017-12615CVE-2020-1938 前言 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Ja
Tomcat漏洞利用实践
yyj1781572的博客
04-02 1298
本实验将带领大家实际操作攻击tomcat以及如何修复其漏洞。在配置Tomcat的时候使用了常用的用户名和弱口令,导致Tomcat可被攻击者登陆,并利用manager中的war部署功能上传恶意脚本最终导致服务器沦陷。
TomcatScanPro 最新tomcat自动化漏洞扫描利用工具
最新发布
nextlubricate的博客
09-09 639
最新tomcat自动化漏洞扫描利用工具,支持批量弱口令检测、后台部署war包getshell、CVE-2017-12615 文件上传、CVE-2020-1938/CNVD-2020-10487 文件包含
网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细)
热门推荐
m0_67844671的博客
09-12 1万+
Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细);Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。AJP(Apache JServ Protocol)是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值