CMS漏洞检测工具 - CMSeek

Track-SSG   ·   发表于 2020-11-10 15:14:34   ·   安全工具

版本说明:CMSeek1.1.3

下载地址:https://github.com/Tuhinshubhra/CMSeeK

使用环境:基于python3

工具说明:

CMSeeK是一个CMS的漏洞检测和利用套件。CMSeeK是由python3编写的,因此你需要安装python3的运行环境

一、CMSeek的功能:

  1. 超过170个CMS的基本CMS检测
  2. Drupal版本检测
  3. 先进的Wordpress扫描
  4. 先进的Joomla扫描
  5. 模块化暴力系统
    使用预制的bruteforce模块或创建自己的模块并与之集成

二、安装和使用:

使用CMSeeK相当容易,只需确保已安装python3和git(仅用于克隆存储)并使用以下命令:
git clone https://github.com/Tuhinshubhra/CMSeeK
安装依赖库:pip / pip3 install -r requirements.txt

对于引导式扫描:python3 cmseek.py
其他:python3 cmseek.py -u <target_url> [...]

程序中的帮助菜单

  1. USAGE:
  2. python3 cmseek.py (for guided scanning) OR
  3. python3 cmseek.py [OPTIONS] <Target Specification>
  4. SPECIFING TARGET:
  5. -u URL, --url URL Target Url
  6. -l LIST, --list LIST Path of the file containing list of sites
  7. for multi-site scan (comma separated)
  8. MANIPULATING SCAN:
  9. -i cms, --ignore--cms cms Specify which CMS IDs to skip in order to
  10. avoid flase positive. separated by comma ","
  11. --strict-cms cms Checks target against a list of provided
  12. CMS IDs. separated by comma ","
  13. --skip-scanned Skips target if it's CMS was previously detected.
  14. RE-DIRECT:
  15. --follow-redirect Follows all/any redirect(s)
  16. --no-redirect Skips all redirects and tests the input target(s)
  17. USER AGENT:
  18. -r, --random-agent Use a random user agent
  19. --googlebot Use Google bot user agent
  20. --user-agent USER_AGENT Specify a custom user agent
  21. OUTPUT:
  22. -v, --verbose Increase output verbosity
  23. VERSION & UPDATING:
  24. --update Update CMSeeK (Requires git)
  25. --version Show CMSeeK version and exit
  26. HELP & MISCELLANEOUS:
  27. -h, --help Show this help message and exit
  28. --clear-result Delete all the scan result
  29. --batch Never ask you to press enter after every site in a list is scanned
  30. EXAMPLE USAGE:
  31. python3 cmseek.py -u example.com # Scan example.com
  32. python3 cmseek.py -l /home/user/target.txt # Scan the sites specified in target.txt (comma separated)
  33. python3 cmseek.py -u example.com --user-agent Mozilla 5.0 # Scan example.com using custom user-Agent Mozilla is 5.0 used here
  34. python3 cmseek.py -u example.com --random-agent # Scan example.com using a random user-Agent
  35. python3 cmseek.py -v -u example.com # enabling verbose output while scanning example.com

三、更新

你可以从主菜单中检查更新,或使用python3 cmseek.py —update命令检查更新及应用自动更新。

P.S:请确保你已安装了git,CMSeeK将使用git来进行自动更新。

四、检查原理

CMSeek通过以下方式检测CMS:
HTTP头
生成器元标记
页面源代码
robots.txt

支持的CMS:
CMSeeK当前可以检测170多个CMS。请检查以下列表:目录中存在的cmss.py文件cmseekdb。所有cms均以以下方式存储:

  1. cmsID = {
  2. 'name':'Name Of CMS',
  3. 'url':'Official URL of the CMS',
  4. 'vd':'Version Detection (0 for no, 1 for yes)',
  5. 'deeps':'Deep Scan (0 for no 1 for yes)'
  6. }

五、Bruteforce模块:

CMSeek具有模块化的bruteforce系统,这意味着你可以添加定制的bruteforce模块与cmseek配合使用。不久后我们将会撰写一个模块创建的说明文档,但是如果你已经知道如何创建,那你需要的做的是:

添加注释 # <Name Of The CMS> Bruteforce module。这将帮助CMSeeK知道CMS所使用正则表达式的名称
添加注释 ### cmseekbruteforcemodule,让CMSeeK知道这是一个模块
将模块复制并粘贴到CMSeeK目录下的brutecms目录中
使在第一个菜单中使用U作为输入,打开CMSeeK并重建Cache
如果一切正常,你将看到截图所示内容,下次打开CMSeeK时,你的模块将在bruteforce菜单中列出。

打赏我,让我更有动力~

0 条回复   |  直到 2020-11-10 | 1480 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.