设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 新闻资讯 > 软件更新资讯 > 正文

CMS漏洞检测工具 – CMSmap

时间:2015-02-02 21:00 来源:未知 作者:www.secye.com 阅读:

‍‍‍CMSmap是一个Python编写的针对开源CMS(内容管理系统)的安全扫描器,它可以自动检测当前国外最流行的CMS的安全漏洞。 CMSmap主要是在一个单一的工具集合了不同类型的CMS的常见的漏洞。CMSmap目前只支持WordPress,Joomla和Drupal。 ‍‍

主要功能

1.其可以检测目标网站的cms基本类型,CMSmap默认自带一个WordPress,Joomla和Drupal插件列表,所以其也可以检测目标网站的插件种类;

2.Cmsmap是一个多线程的扫描工具,默认线程数为5;

3.工具使用比较简单,命令行的默认的强制选项为target URL;

4.工具还集成了暴力破解模块;

5.CMSmap的核心是检测插件漏洞,其主要是通过查询数据库漏洞网站(www.exploit-db.com)提供了潜在的漏洞列表。

‍‍

运行截图‍‍

‍‍ 暴力破解如下图:‍‍

‍‍Cmsmap检测到一个可以上传插件的用户的标示(可能是admin),cmsmap就会上传一个webshell。下图可能cmsmap的wp插件安装列表:‍‍

‍‍除了具有有效的凭证,在这访问webshell的攻击者能够执行操作系统命令,并试图进一步提权。‍‍

‍‍下载地址‍‍

https://github.com/dionach/CMSmap

‍‍

写在最后

Cmsmap可以上传用户自定义的wenshell,CMSmap还支持WordPress的和Joomla密码哈希的离线暴力破解。牛逼的python大牛们,可以尝试,将我们国内的cms的漏洞写工具中。

[参考信息来源dionach.com,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%