0x01 工具介绍 hello,好久没更,工具改名成RexHa。最新版RexHa工具的功能以及特点: 上一个版本中,支持检测的漏洞只有4个,这次我直接加到了7个,基本上覆盖了ThinkPHP的大部分版本,支持扫描的漏洞分别是: 而且每一种漏洞都是经过靶场+实战验证,每个Payload我都能保证不会有问题,而且能够精准判断。 谢谢我的猫~❤️ 工具多了很多猫咪的元素在里面,本文后面也会细说。 新版本的界面展示如下:
我是用java18开发的,jdk版本太低的话可能会运行不起来。①HttpClient替代旧版HttpUrlConection②多线程并发③重写了 7 个Payload
ThinkPHP-2.x-RCEThinkPHP-5.0.23-RCEThinkPHP5.0.x-5.0.23通杀RCEThinkPHP5-SQL注入&敏感信息泄露ThinkPHP 3.x 日志泄露NO.1ThinkPHP 3.x 日志泄露NO.2ThinkPHP 5.x 数据库信息泄露的漏洞检测
④取消了旧版的命令执行功能⑤Aazhen改名成RexHa⑥url输入格式判断
0x02 部分展示
自研JavaFX图形化漏洞扫描工具,支持扫描的漏洞分别是:
ThinkPHP-2.x-RCEThinkPHP-5.0.23-RCEThinkPHP5.0.x-5.0.23通杀RCEThinkPHP5-SQL注入&敏感信息泄露ThinkPHP 3.x 日志泄露NO.1ThinkPHP 3.x 日志泄露NO.2ThinkPHP 5.x 数据库信息泄露的漏洞检测
以及批量检测的功能。漏洞POC基本适用ThinkPHP全版本漏洞。
界面展示:
1、外观
①界面半透明②有了工具的小logo③鼠标是一个小太阳④用了三种布局方式组合在一起。
2、漏洞检测演示
一键检测展示:
3、命令执行模块演示 选择刚刚检测出来的漏洞版本,然后才能命令执行,输出结果:
0x03 获取方式
https://github.com/zangcc/Aazhen-RexHa
原文始发于微信公众号(渗透Xiao白帽):新版本GUI一键利用Tools(附下载)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论