-

CMSeeK v1.1.1 - CMS Detection And Exploitation Suite (Scan WordPress، Joomla، Drupal and 150 Other CMSs)



ما هو CMS؟
يدير نظام إدارة المحتوى (CMS) إنشاء وتعديل المحتوى الرقمي. وعادة ما يدعم العديد من المستخدمين في بيئة تعاونية. بعض الأمثلة البارزة هي: WordPress، Joomla، Drupal الخ .

تاريخ الإصدار 
- Version 1.1.1 [01-02-2019] 
 - Version 1.1.0 [28-08-2018] 
 - Version 1.0.9 [21-08-2018] 
 - Version 1.0.8 [14-08-2018] 
 - Version 1.0.7 [07-08-2018] 
 ...
ملف التغيير

وظائف CMSeek:
  • الكشف الأساسي عن CMS لأكثر من 155 CMS
  • كشف نسخة دروبال
  • المتقدمة وورد المسح
    • يكتشف الإصدار
    • تعداد المستخدم
    • تعداد الإضافات
    • موضوع العد
    • اكتشاف المستخدمين (3 طرق للكشف)
    • يبدو لضعف الثغرات وأكثر من ذلك بكثير!
  • متقدمة Joomla المسح
    • كشف الإصدار
    • مكتشف الملفات الاحتياطية
    • مكتشف صفحة المسؤول
    • كشف الضعف الأساسي
    • التحقق من قائمة الدليل
    • اكتشاف تسرب التكوين
    • الشيكات المختلفة الأخرى
  • نظام bruteforce وحدات
    • استخدام وحدات bruteforce المصنوعة مسبقا أو إنشاء الخاصة بك والاندماج معها

المتطلبات والتوافق:
بنيت CMSeeK باستخدام python3 ، سوف تحتاج python3 لتشغيل هذه الأداة وقابلية للتوافق مع أنظمة Unix حتى الآن. سيتم إضافة دعم Windows لاحقًا. يعتمد CMSeeK على بوابة git للتحديث التلقائي ، لذا تأكد من تثبيت git.

التثبيت والاستخدام:
من السهل استخدام CMSeeK ، فقط تأكد من أن لديك python3 و git (فقط لاستنساخ الريبو) مثبتة واستخدم الأوامر التالية:
  • بوابة استنساخ https://github.com/Tuhinshubhra/CMSeeK
  • مؤتمر نزع السلاح CMSEEK
  • pip / pip3 install -r requirements.txt
للمسح الضوئي الموجه:
  • python3 cmseek.py
آخر:
  • python3 cmseek.py -u <target_url> [...]
قائمة المساعدة من البرنامج: 
 USAGE: 
 python3 cmseek.py (for a guided scanning) OR 
 python3 cmseek.py [OPTIONS] <Target Specification> 
 
 SPECIFING TARGET: 
 -u URL, --url URL Target Url 
 -l LIST, -list LIST path of the file containing list of sites 
 for multi-site scan (comma separated) 
 RE-DIRECT: 
 --follow-redirect Follows all/any redirect(s) 
 --no-redirect Skips all redirects and tests the input target(s) 
 
 USER AGENT: 
 -r, --random-agent Use a random user agent 
 --googlebot Use Google bot user agent 
 --user-agent USER_AGENT Specify a custom user agent 
 
 OUTPUT: 
 -v, --verbose Increase output verbosity 
 
 VERSION & UPDATING: 
 --update Update CMSeeK (Requires git) 
 --version Show CMSeeK version and exit 
 
 HELP & MISCELLANEOUS: 
 -h, --help Show this help message and exit 
 --clear-result Delete all the scan result 
 
 EXAMPLE USAGE: 
 python3 cmseek.py -u example.com # Scan example.com 
 python3 cmseek.py -l /home/user/target.txt # Scan the sites specified in target.txt (comma separated) 
 python3 cmseek.py -u example.com --user-agent Mozilla 5.0 # Scan example.com using custom user-Agent Mozilla is 5.0 used here 
 python3 cmseek.py -u example.com --random-agent # Scan example.com using a random user-Agent 
 python3 cmseek.py -v -u example.com # enabling verbose output while scanning example.com

التحقق من وجود التحديث:
يمكنك التحقق من التحديث إما من القائمة الرئيسية أو استخدام python3 cmseek.py --update تحديث لتحديث التحديث وتطبيق التحديث التلقائي.
ملاحظة: الرجاء التأكد من تثبيت git ، يستخدم CMSeeK بوابة لتطبيق التحديث التلقائي.

طرق الكشف:
CMSeek بالكشف عن CMS عبر ما يلي:
  • رؤوس HTTP
  • العلامة الوصفية للمولد
  • شفرة مصدر الصفحة
  • ملف robots.txt

CMSs المدعومة:
يمكن لـ CMSeeK حاليًا اكتشاف 157 CMS. تحقق من القائمة هنا: ملف cmss.py الموجود في دليل cmseekdb . يتم تخزين كافة cmss بالطريقة التالية: 
  cmsID = { 
 'name':'Name Of CMS', 
 'url':'Official URL of the CMS', 
 'vd':'Version Detection (0 for no, 1 for yes)', 
 'deeps':'Deep Scan (0 for no 1 for yes)' 
 }

نتيجة المسح:
يتم تخزين جميع نتائج الفحص في ملف json المسمى cms.json ، يمكنك العثور على السجلات داخل الدليل Result\<Target Site> ، وباعتبار نتائج bruteforce يتم تخزينها في ملف txt ضمن دليل نتائج الموقع كذلك.
في ما يلي مثال على سجل تقرير json:


وحدات Bruteforce:
CMSeek لديه نظام bruteforce المعياري يعني أنه يمكنك إضافة وحدات bruteforce المخصصة الخاصة بك للعمل مع cmseek. سيتم إنشاء وثائق مناسبة لإنشاء الوحدات في وقت قصير ولكن إذا كنت قد اكتشفت بالفعل كيفية (سهلة جدًا بمجرد تحليل الوحدات المعدة مسبقًا) ، كل ما عليك القيام به هو:
  1. إضافة تعليق بالضبط مثل هذا # <Name Of The CMS> Bruteforce module . سيساعد هذا CMSEEK في معرفة اسم CMS باستخدام regex
  2. إضافة تعليق آخر ### cmseekbruteforcemodule ، وهذا سيساعد CMSEEK لمعرفة أنها وحدة نمطية
  3. انسخ الوحدة brutecms دليل brutecms ضمن دليل CMSeeK
  4. افتح CMSeeK و Rebuild Cache باستخدام U كإدخال في القائمة الأولى.
  5. إذا تم تنفيذ كل شيء بشكل صحيح سترى شيء من هذا القبيل (الرجوع إلى قطة أدناه) وسيتم سرد الوحدة الخاصة بك في قائمة bruteforce في المرة التالية التي تفتح CMSEEK.


تحتاج إلى أسباب أخرى لاستخدام CMSEEK؟
إن لم يكن أي شيء يمكنك التمتع به دائما الخروج CMSEEK (من فضلك لا) ، وسوف نودعك في رسالة الوداع عشوائية بلغات مختلفة.
كما يمكنك محاولة قراءة التعليقات في الكود التي تكون عشوائية جدًا وغريبة !!!

لقطات:

القائمة الرئيسية


نتيجة المسح

نتيجة المسح الضوئي وورد

إرشادات لفتح قضية:
الرجاء التأكد من وجود المعلومات التالية مرفقة عند فتح مشكلة جديدة:
  • استهداف
  • نسخة دقيقة من الخطأ أو لقطة شاشة من الخطأ
  • نظام التشغيل الخاص بك وإصدار python
قد لا يتم الرد على المشكلات التي لا تحتوي على هذه المعلومات!




:



Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

-
Image
Dumpzilla - استخراج جميع معلومات الطب الشرعي مثيرة للاهتمام من متصفحات فايرفوكس ، Iceweasel و Seamonkey Dumpzilla الموقع الرسمي   : [www.dumpzilla.org] (   http://www.dumpzilla.org   "موزيلا متصفح   الطب الشرعي   أداة") Manual   : [Español] (   http://dumpzilla.org/Manual_dumpzilla_es.txt   "Manual en español de dumpzilla") / [إنجليزي] (   http://dumpzilla.org/Manual_dumpzilla_en.txt   "Dumpzilla english Manual") SO   : يونكس / وين لقطات الشاشة   : [Dummpzilla] (   http://dumpzilla.org/Screenshots/screenshots.html   "لقطات شاشة dumpzilla") تم تطوير تطبيق Dumpzilla في بيثون 3.x و له استخراج الغرض وجميع معلومات مثيرة للاهتمام الطب الشرعي من فايرفوكس، Iceweasel وسيمانكي   المتصفحات   لتحليلها.   نظرًا لتطويره في Python 3.x ، فقد لا يعمل بشكل صحيح في إصدارات Python القديمة ، خاصة مع بعض الأحرف.   يعمل تحت أنظمة Unix و   Windows   32/64 بت. يعمل في   واجهة   سطر الأوامر   ، بحيث يمكن إعادة توجيه عمليات تفريغ المعلوم
Lire la suite
-
Image
Ethereum Classic (ETC) تم تسجيله بواسطة هجوم مضاعف بقيمة 1.1 مليون دولار لماذا هذا الهجوم يتعلق؟  أسفرت عملية السرقة عن خسارة بقيمة 1.1 مليون دولار من عملة  Classic الرقمية.  انخفضت العملة الرقمية على الفور في السعر بعد صدور الخبر.  كشفت Coinbase يوم الاثنين أنها حددت "إعادة تنظيم سلسلة عميقة" من blockchain Ethereum الكلاسيكية (أو هجوم 51 في المئة من الشبكة) ، مما يعني أن شخص ما يسيطر على غالبية عمال المناجم على الشبكة (أكثر من 50 ٪) قد تعديل تاريخ المعاملة. بعد إعادة تنظيم blockchain Ethereum ، كان المهاجمون قادرين على ما يطلق عليه "إنفاق مزدوج" حول 219،500 ETC باستعادة العملات التي تم صرفها من قبل من المستلمين الشرعيين ونقلهم إلى كيانات جديدة اختارها المهاجمون (عادة ما تكون محفظة في سيطرتهم). "لاحظنا تكرار إعادة تنظيم عميقة من blockchain Ethereum الكلاسيكية، ومعظمها الواردة ضعف تنفق" قال المهندس الأمن Coinbase كافة نيسبيت في  بلوق وظيفة  .  "القيمة الإجمالية للإنفاق المزدوج الذي لاحظناه حتى الآن هي
Lire la suite
-
Image
Metasploit 5.0 - إطار اختبار الاختراق الأكثر استخدامًا في  العالم المعرفة قوة ، خاصة عندما تكون مشتركة. يساعد التعاون بين مجتمع المصدر المفتوح و Rapid7 ، Metasploit فرق الأمان على القيام بأكثر من مجرد التحقق من نقاط الضعف ، وإدارة تقييمات الأمان ، وتحسين الوعي الأمني ​​؛ إنه يمنح المدافعين عن الأسلحة ويبقون على الدوام خطوة واحدة (أو اثنتين) قبل المباراة. أعلنت Rapid7 عن إطلاق Metasploit 5.0 ، الإصدار الجديد يتضمن العديد من الميزات الجديدة الهامة ، وتعتقد الشركة أنه سيكون أسهل في الاستخدام وأكثر قوة. Metasploit هو إطار اختبار الاختراق الأكثر استخدامًا ولديه أكثر من 1500 وحدة تقدم وظائف تغطي كل مرحلة من مراحل اختبار الاختراق ، مما يجعل حياة اختبار الاختراق أسهل نسبيًا. تتضمن أهم التغييرات التي تم إدخالها في Metasploit 5.0 على قواعد بيانات جديدة وأوتومات واجهات برمجة التطبيقات التلقائية ، ووحدات التهرب والمكتبات ، ودعم اللغة ، وتحسين الأداء. Metasploit 5.0 متوفر حاليًا من مشروع GitHub الرسمي. يقول Rapid7 إنه في
Lire la suite