0X01 介绍
一款由Go Fyne实现的ThinkPHP漏洞扫描器,用于解决实战场景中遇到的TP框架,自动化扫描利用,工具使用gc多线程,扫描速度极快。
0X02 工具截图
漏洞扫描模块
命令执行模块
Getshell模块
批量检测模块
超时时间模块
主题模块
0X03 使用说明
使用代理模式,需要勾选上,然后设置IP以及端口,Time模块可以设置超时时间,以及重试间隔、重试次数。
工具的日志有三种,一个是Scan,会将扫描结果写入到日志里,ScanError是在进行命令执行&Getshell的时候,出现错误后会将错误写入到日志中,Error是记录工具的错误信息,抛出panic,都会写入到日志中。
工具的代理是通过config.json加载,请求是通过Ua.txt来加载UA头,可以自定义UA头,直接复制进去保存即可。
批量检测模块中,Url处理模块中,导入txt文档,会自动添加http协议头以及进行存活探测,导入URL模块只会导入已经添加协议头的url,建议批量检测前先使用Url处理。
在检测过程中,需要漏洞检测成功后,才可以命令执行以及Getshell,否则就会提示
有些漏洞不支持Getshell以及命令执行,会直接返回该漏洞不支持
工具初版可能会有很多Bug以及误报,师傅们如果在使用过程中出现问题,可以在关于处公众号后台反馈,或者添加微信名片反馈。
0X04 工具下载
工具编译了三个版本,Windows、Linux以及Macos,公众号后台回复wintp、linuxtp、获取对应的下载链接。
原文始发于微信公众号(琴音安全):ThinkPHP综合漏洞扫描工具V1.0发布!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论