前言

前段时间试着挖了一段时间的src,在挖掘过程中由于相当多的站是使用weblogic搭建的,手工测测得有点疲惫了,网上也没找到比较好的工具。于是花了两三天的时间写了一个。感觉效果还行?

前期检测的功能不是特别多,但是比起手工已经省了不少的力气了。后期尽量会继续加些功能的。

github地址:https://github.com/kingkaki/weblogic-scan

weblogic-scan

weblogic 漏洞扫描工具
妄想试图weblogic一把梭
目前检测的功能

  • [x] console 页面探测 & 弱口令扫描
  • [x] uuid页面的SSRF
  • [x] CVE-2017-10271 wls-wsat页面的反序列化
  • [x] CVE-2018-2628 反序列化

后期可以的话还会继续加功能的,主要是一些反序列化的poc真的不好写,我也不咋会..

USE

使用前请先填写config.py中的server参数
推荐配合http://ceye.io之类的工具使用,server格式为http://xxx.ceye.io

点击收藏 | 4 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖