【工具推薦】TomcatWeakPassChecker v2.2(最新版本) - Tomcat 漏洞一鍵漏洞利用getshell

网络安全武器库發表於2024-09-05

工具介紹:
一鍵tomcat漏洞批次弱口令檢測、後臺部署war包getshell,該指令碼用於檢查Apache Tomcat管理頁面的弱密碼,並嘗試透過上傳自定義WAR包部署Godzilla Webshell。如果成功,將記錄成功登入的資訊以及獲取到的Webshell地址。

下載地址

連結:https://pan.quark.cn/s/2062b75c4312

環境安裝
透過以下命令安裝所需模組:

pip install -r requirements.txt

使用方法

  1. 準備包含URL、使用者名稱和密碼的文字檔案,分別命名為urls.txtuser.txtpasswd.txt

  2. urls.txt儲存格式:https://127.0.0.1/ 或者 https://127.0.0.1/manager/html 指令碼會自行判斷檢測

  3. config.yaml中配置檔案路徑和其他設定。

  4. 執行指令碼,將會在success.txt檔案中記錄成功的登入資訊和Webshell的URL。

    python TomcatWeakPassChecker.py
    

功能

1. CVE-2017-12615 漏洞檢測

  • 工具支援三種利用方式:

    PUT /1.jsp/

    PUT /1.jsp%20

    PUT /1.jsp::$DATA

  • 成功上傳後,工具會嘗試訪問並執行上傳的 JSP 檔案,判斷是否能遠端執行程式碼。

  • 對每種利用方式的結果分別記錄成功或失敗狀態。

2. 弱口令檢測

  • 支援透過使用者名稱與密碼組合進行弱口令暴力破解。
  • 若登入成功,將自動嘗試上傳 Godzilla Webshell,提供遠端訪問能力。
  • 登入成功與否均會詳細記錄。

3. 後臺部署 WAR 包 getshell

  • 在弱口令破解成功後,工具會嘗試透過 Tomcat 管理後臺上傳 WAR 包,以獲取遠端程式碼執行許可權。
  • 部署的 WAR 包會在伺服器上解壓並生成 JSP Shell 檔案,成功上傳後,工具會訪問並執行該 Shell。
  • 支援透過配置檔案自定義 WAR 包和 Shell 檔案的內容。

相關文章