专栏首页FreeBufVulnX:一款针对CMS的漏洞检测工具和自动Shell注入工具

VulnX:一款针对CMS的漏洞检测工具和自动Shell注入工具

VulnX是一款自动化Shell注入工具,支持多种类型的内容管理系统,其中包括Wordpress、Joomla、Drupal和Prestashop等等,广大研究人员可以使用VulnX来检测这些CMS系统中的安全问题。

VulnX本质上是一款智能化Bot,可实现Shell自动注入,并帮助研究人员检测CMS系统中的安全漏洞。它可以执行快速CMS安全检测、信息收集(包括子域名、ip地址、国家信息、组织信息和时区等等)和漏洞扫描。

功能介绍

1、 检测CMS漏洞,支持wordpress, joomla, prestashop, drupal, opencart, magento, lokomedia; 2、 目标信息收集; 3、 目标子域名收集; 4、 多线程扫描支持; 5、 检测安全漏洞 6、 自动Shell注入; 7、 利用Dork搜索引擎; 8、 高级端口扫描; 9、 DNS服务器导出; 10、同时扫描多个目标; 11、Dork枚举;

DNS映射

用户课使用--dns或-d来对目标子域名执行DNS映射,并生成isetso.rnu.tn:

vulnx-u isetso.rnu.tn --dns -d --output $PATH

其中的$PATH变量存储的是结果图的存储地址。

漏洞利用

各CMS平台支持的扫描组件

Joomla

Com Jce Com Jwallpapers Com Jdownloads Com Jdownloads2 Com Weblinks Com Fabrik Com Fabrik Com Jdownloads Index Com Foxcontact Com Blog Com Users Com Ads Manager Com Sexycontactform Com Media Mod_simplefileupload Com Facileforms Com Facileforms Com extplorer

Wordpress

Simple Ads Manager InBoundio Marketing WPshop eCommerce Synoptic Showbiz Pro Job Manager Formcraft PowerZoom Download Manager CherryFramework Catpro Blaze SlideShow Wysija-Newsletters

Drupal

Add Admin Drupal BruteForcer Drupal Geddon2

PrestaShop

attributewizardpro columnadverts soopamobile pk_flexmenu pk_vertflexmenu nvnexportorders megamenu tdpsthemeoptionpanel psmodthemeoptionpanel masseditproduct blocktestimonial soopabanners Vtermslideshow simpleslideshow productpageadverts homepageadvertise homepageadvertise2 jro_homepageadvertise advancedslider cartabandonmentpro cartabandonmentproOld videostab wg24themeadministration fieldvmegamenu wdoptionpanel

Opencart

Opencart BruteForce

可用的命令行选项

usage:vulnx [options]  -u --url              目标URL地址  -D --dorks            搜索Dock  -o --output           指定输出目录  -t --timeout          HTTP请求超时  -c --cms-info         搜索CMS信息,包括主题、插件、用户和版本  -e --exploit           扫描并利用安全漏洞  -w --web-info        Web信息收集  -d --domain-info     子域名信息收集  -l, --dork-list         枚举Dork列表  -n, --number-page   搜索引擎的页面数量(Google)  -p, --ports           端口扫描  -i, --input            从输入文件导入目标域名  --threads            扫描线程数量  --dns                DNS信息收集

工具安装

Docker安装

$ git clone https://github.com/anouarbensaad/VulnX.git$ cd VulnX$ docker build -t vulnx ./docker/$ docker run -it --name vulnx vulnx:latest -u http://exemple.com

Ubuntu安装

$ git clone https://github.com/anouarbensaad/vulnx.git$ cdVulnX$ chmod +x install.sh$ ./install.sh

Termux安装

$ pkg update$ pkg install -y git$ git clone http://github.com/anouarbensaad/vulnx$ cd vulnx$ chmod +x install.sh$ ./install.sh

工具常用命令

参考命令样本:settimeout=3 , cms-gathering = all , -d subdomains-gathering , run--exploits

vulnx -u http://example.com --timeout 3 -c all -d -w –exploit

搜索Dork样本命令:-D or --dorks , -l --list-dorks

vulnx--list-dorks命令将会返回可利用漏洞表。

搜索单个目标网站

选项:-u或--url

vulnx -u http://example.com

扫描超时

选项:--timeout(默认为3秒)

vulnx-u http://example.com --timeout=4

运行漏洞利用模块

选项:--exploit或-e

vulnx-u http://example.com --exploit

CMS信息收集

选项:--cms-info或-c

vulnx-u http://example.com --cms-info all

子域名&IP信息收集

选项:--domain-info或-d

vulnx-u http://example.com --domain-info

网站信息收集

选项:--web-info或-w

vulnx-u http://example.com --web-info

扫描开放端口

选项:--ports或-p

vulnx-u http://example.com --ports

DNS信息收集

选项:--dns

vulnx-u http://example.com --dns

项目地址

VulnX:【请点击底部阅读原文获取】

许可证协议

本项目遵循GPL-v3.0开源许可证协议。

参考来源:anouarbensaad,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 近期曝光的针对银行SWIFT系统攻击事件综合分析

    概述 2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后,如越南先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被...

    FB客服
  • 聊聊安全测试中如何快速搞定Webshell

    WEB安全漏洞中,与文件操作相关的漏洞类型就不少,在大部分的渗透测试过程中,上传文件(大、小马)是必不可少的一个流程,然而各种各样的防火墙拦截了文件上传,遂整理...

    FB客服
  • CVE-2020-0646:SharePoint中的远程代码执行漏洞分析

    2019年11月份,安全研究人员在微软SharePoint Online的工作流中发现了一个代码注入漏洞,并将其上报给微软公司。攻击者一旦成功利用该漏洞,将能够...

    FB客服
  • 1590: [Usaco2008 Dec]Secret Message 秘密信息

    1590: [Usaco2008 Dec]Secret Message 秘密信息 Time Limit: 5 Sec  Memory Limit: 32 MB ...

    HansBug
  • 新闻资讯|马化腾:加大投入做好基础科研,才能具备真正的实力

     腾讯科技讯 5月26日消息,腾讯董事会主席兼首席执行官马化腾在“未来论坛X深圳峰会”上发表演讲。马化腾认为,中国的科技应用在一些方面已经全球领先,但在基...

    优图实验室
  • Oracle 12c系列(二)|PDB的创建

    作者 杨禹航 出品 沃趣技术 PDB数据库的创建可以从现存的数据库中复制数据文件,包括种子容器、可插拔数据库、non-CDB数据库,创建时可以使用CRE...

    沃趣科技
  • Oracle 12.2 新特性 | PDB不同字符集变更深入解析

    从12c版本12.1开始,就有了新特性——Pluggable Database,相比较之前通过schema的管理方式实现多用户管理,Pluggable Data...

    数据和云
  • Python--练习及面试题

    1. 企业发放的奖金根据利润提成。利润(I)低于或等于10万元时,奖金可提10%;利润高

    py3study
  • 兼容问题(上)

    只在IE下生效 只在IE6下生效 只在IE6以上版本生效 IE8以及IE8以下 只在IE8上不生效 非IE浏览器生效

    河湾欢儿
  • 剑指offer - 二叉树中和为某一值的路径 - JavaScript

    题目描述:输入一颗二叉树的跟节点和一个整数,打印出二叉树中结点值的和为输入整数的所有路径。路径定义为从树的根结点开始往下一直到叶结点所经过的结点形成一条路径。(...

    心谭博客

扫码关注云+社区

领取腾讯云代金券