VulnerabilityList 渗透测试漏洞扫描检测工具
2020-01-13 11:29:23 Author: mp.weixin.qq.com(查看原文) 阅读量:185 收藏


漏洞检测使用方法
Tomcat
CVE_2017_12615 / CVE_2017_12617
tomcat_weakpassword
example_vulnerability(检测tomcat的examples等目录是否存在)
moon.py -u tomcat https://www.agesec.com
Fckeditor

获取版本及常见上传页面检测
fck<=2.4版本上传直接上传asa文件getshell
moon.py -u fck http://xx.xx.xx.xx/fckxx
Weblogic

CVE_2017_10271 # 利用方法参考:https://vulhub.org
weblogic_ssrf_cve-2014-4210
weblogic_weakpassword
CVE-2018-2628 # Author:xxlegend
CNVD-C-2019-48814
CVE-2019-2725 # 参考:https://github.com/lufeirider/CVE-2019-2725
moon.py -u weblogic https://www.agesec.com

IP归属查询:
能简单查一下IP的归属地
moon.py -u ip http://www.xxx.com
IIS

短文件名泄露 #来自 lijiejie/IIS_shortname_Scanner
moon.py -u iis http://xx.xx.xx.xx
Docker

docker_daemon_api未授权访问
moon.py -u docker https://www.agesec.com
Redis

redis未授权访问
moon.py -u redis https://www.agesec.com or moon.py -u redis xx.xx.xx.xx:xxxx
Zabbix

zabbix_sql_CVE_2016_10134 #有参考独自等待的脚本
moon.py -u zabbix https://www.agesec.com
Navigate

navigate_Unauthenticated_Remote_Code_Execution #利用方法参考 https://www.exploit-db.com/exploits/45561/
moon.py -u navigate https://www.agesec.com
Gatepass

Gate Pass Management System 2.1 - 'login' SQL Injection # 参考 https://www.exploit-db.com/exploits/45766/
moon.py -u gatepass https://www.agesec.com
Jboss

admin-console
Checking Struts2
Checking Servlet Deserialization
Checking Application Deserialization
Checking Jenkins
Checking web-console
Checking jmx-console
JMXInvokerServlet
此模块调用的是 # jexboss
moon.py -u jboss https://www.agesec.com
Kindeditor

kindeditor<=4.1.5文件上传漏洞
moon.py -u kindeditor https://www.agesec.com/kidneditor-4.1.5
Drupal

Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
Drupal Drupalgeddon 2远程代码执行漏洞(CVE-2018-7600) # https://github.com/a2u/CVE-2018-7600/blob/master/exploit.py
moon.py -u drupal http://xxx.xxx.xxx.xxx:xxxx
Thinkphp

thinkphp_before5_0_23_rce
thinkphp5_inj_info
thinkphp5_x_rce
moon.py -u thinkphp http://xxx.xxx.xxx.xxx:xxxx
Memcache

未授权访问
moon.py -u memcache http://xxx.xxx.xxx.xxx:xxxx
Js

js代码中敏感信息收集 # 主要参考 https://threezh1.github.io By Threezh1
moon.py -u js http://xxx.xxx.xxx.xxx:xxxx

文章来源:

https://www.agesec.com/8976.html

推荐文章++++

*Discuz ML RCE 漏洞批量检测利用工具

*findWebshell webshell检测工具

*Xsser 一款自动检测XSS漏洞工具


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&amp;mid=2650459357&amp;idx=4&amp;sn=fdcff128f507e8278ee0312e89b21a1f&amp;chksm=83bba939b4cc202ffb53110963aeb8e5e53fe791cab03a07d81093d2b8f5bc36d50808aed91a#rd
如有侵权请联系:admin#unsafe.sh