论坛首页 > 技术文章投稿区 > 安全工具

CMS漏洞检测工具 - CMSeek

Track-SSG   ·   发表于 2020-11-10 15:14:34   ·   安全工具

版本说明:CMSeek1.1.3

下载地址:https://github.com/Tuhinshubhra/CMSeeK

使用环境:基于python3

工具说明:

CMSeeK是一个CMS的漏洞检测和利用套件。CMSeeK是由python3编写的,因此你需要安装python3的运行环境

一、CMSeek的功能:

  1. 超过170个CMS的基本CMS检测
  2. Drupal版本检测
  3. 先进的Wordpress扫描
  4. 先进的Joomla扫描
  5. 模块化暴力系统
    使用预制的bruteforce模块或创建自己的模块并与之集成

二、安装和使用:

使用CMSeeK相当容易,只需确保已安装python3和git(仅用于克隆存储)并使用以下命令:
git clone https://github.com/Tuhinshubhra/CMSeeK
安装依赖库:pip / pip3 install -r requirements.txt

对于引导式扫描:python3 cmseek.py
其他:python3 cmseek.py -u <target_url> [...]

程序中的帮助菜单

  1. USAGE:
  2.        python3 cmseek.py (for guided scanning) OR
  3.        python3 cmseek.py [OPTIONS] <Target Specification>
  5. SPECIFING TARGET:
  6.       -u URL, --url URL            Target Url
  7.       -l LIST, --list LIST         Path of the file containing list of sites
  8.                                    for multi-site scan (comma separated)
  10. MANIPULATING SCAN:
  11.       -i cms, --ignore--cms cms    Specify which CMS IDs to skip in order to
  12.                                    avoid flase positive. separated by comma ","
  14.       --strict-cms cms             Checks target against a list of provided
  15.                                    CMS IDs. separated by comma ","
  17.       --skip-scanned               Skips target if it's CMS was previously detected.
  19. RE-DIRECT:
  20.       --follow-redirect            Follows all/any redirect(s)
  21.       --no-redirect                Skips all redirects and tests the input target(s)
  23. USER AGENT:
  24.       -r, --random-agent           Use a random user agent
  25.       --googlebot                  Use Google bot user agent
  26.       --user-agent USER_AGENT      Specify a custom user agent
  28. OUTPUT:
  29.       -v, --verbose                Increase output verbosity
  31. VERSION & UPDATING:
  32.       --update                     Update CMSeeK (Requires git)
  33.       --version                    Show CMSeeK version and exit
  35. HELP & MISCELLANEOUS:
  36.       -h, --help                   Show this help message and exit
  37.       --clear-result               Delete all the scan result
  38.       --batch                      Never ask you to press enter after every site in a list is scanned
  40. EXAMPLE USAGE:
  41.       python3 cmseek.py -u example.com                           # Scan example.com
  42.       python3 cmseek.py -l /home/user/target.txt                 # Scan the sites specified in target.txt (comma separated)
  43.       python3 cmseek.py -u example.com --user-agent Mozilla 5.0  # Scan example.com using custom user-Agent Mozilla is 5.0 used here
  44.       python3 cmseek.py -u example.com --random-agent            # Scan example.com using a random user-Agent
  45.       python3 cmseek.py -v -u example.com                        # enabling verbose output while scanning example.com

三、更新

你可以从主菜单中检查更新,或使用python3 cmseek.py —update命令检查更新及应用自动更新。

P.S:请确保你已安装了git,CMSeeK将使用git来进行自动更新。

四、检查原理

CMSeek通过以下方式检测CMS:
HTTP头
生成器元标记
页面源代码
robots.txt

支持的CMS:
CMSeeK当前可以检测170多个CMS。请检查以下列表:目录中存在的cmss.py文件cmseekdb。所有cms均以以下方式存储:

  1.  cmsID = {
  2.    'name':'Name Of CMS',
  3.    'url':'Official URL of the CMS',
  4.    'vd':'Version Detection (0 for no, 1 for yes)',
  5.    'deeps':'Deep Scan (0 for no 1 for yes)'
  6.  }

五、Bruteforce模块:

CMSeek具有模块化的bruteforce系统,这意味着你可以添加定制的bruteforce模块与cmseek配合使用。不久后我们将会撰写一个模块创建的说明文档,但是如果你已经知道如何创建,那你需要的做的是:

添加注释 # <Name Of The CMS> Bruteforce module。这将帮助CMSeeK知道CMS所使用正则表达式的名称
添加注释 ### cmseekbruteforcemodule,让CMSeeK知道这是一个模块
将模块复制并粘贴到CMSeeK目录下的brutecms目录中
使在第一个菜单中使用U作为输入,打开CMSeeK并重建Cache
如果一切正常,你将看到截图所示内容,下次打开CMSeeK时,你的模块将在bruteforce菜单中列出。

打赏我,让我更有动力~

0 条回复   |  直到 2020-11-10 | 1462 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.