内容简介:xShock是一款针对Shellshock漏洞的利用工具,该工具由Hulya Karabag开发,当前版本号为v1.0.0。在xShock的帮助下,广大安全研究人员可以轻松对ShellShock漏洞(CVE-2014-6271)进行漏洞利用测试。该工具创建的所有目录都将保存在vulnurl.txt文件中,命令的执行结果会保存在response.txt中。该工具包括以下几个功能:
xShock是一款针对Shellshock漏洞的利用工具,该 工具 由Hulya Karabag开发,当前版本号为v1.0.0。在xShock的帮助下,广大安全研究人员可以轻松对ShellShock漏洞(CVE-2014-6271)进行漏洞利用测试。
关于工具
该工具创建的所有目录都将保存在vulnurl.txt文件中,命令的执行结果会保存在response.txt中。
功能介绍
该工具包括以下几个功能:
1、CGI漏洞; 2、目录扫描; 3、使用已找到的CGI运行命令; 4、显示存在漏洞的URL地址; 5、更新代理;
工具安装
广大研究人员需要使用下列命令将项目源码克隆至本地,然后使用requirements.txt安装依赖组件:
git clone https://github.com/capture0x/xShock/
cd xShock
pip3 install -r requirements.txt
工具使用
python3 main.py
CGI漏洞
检测目标站点的cgi-bin目录,样例如下:
http://targetsite.com
目录扫描
这个功能需要配合字典文件来使用,并能够扫描目标站点的URL地址。需要注意的是,我们需要在目标URL地址后面添加字典文件的完整路径。
例如:http:// targetsite.com/cgi-bin/selectedworlist
命令使用样例:
/usr/share/wordlists/dirb --> This is directory of wordlist. Not file!
使用已找到的CGI运行命令
通过输入vuln.txt文件中的URL地址,我们可以尝试在已找到的URL地址中运行命令:
http://targetsite.com/cgi-bin/status
显示存在漏洞的URL地址
显示vuln.txt文件中已找到的存在漏洞的URL地址。
更新代理
我们可以手动更新Web代理。
工具运行截图
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Java RMI漏洞利用
- Firefox漏洞利用研究(一)
- phpcms网站漏洞修复之远程代码写入缓存漏洞利用
- 2018最新PHP漏洞利用技巧
- LearnX控件漏洞挖掘与利用
- Nday 漏洞从挖掘到利用
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
海量运维、运营规划之道
唐文 / 电子工业出版社 / 2014-1-1 / 59.00
《海量运维、运营规划之道》作者具有腾讯、百度等中国一线互联网公司多年从业经历,书中依托工作实践,以互联网海量产品质量、效率、成本为核心,从规划、速度、监控、告警、安全、管理、流程、预案、考核、设备、带宽等方面,结合大量案例与读者分享了作者对互联网海量运维、运营规划的体会。 《海量运维、运营规划之道》全面介绍大型互联网公司运维工作所涉及的各个方面,是每个互联网运维工程师、架构师、管理人员不可或......一起来看看 《海量运维、运营规划之道》 这本书的介绍吧!
