CMS漏洞檢測工具 – CMSmap

CMSmap是一個Python編寫的針對開源CMS（內容管理系統）的安全掃描器，它可以自動檢測當前國外最流行的CMS的安全漏 洞。 CMSmap主要是在一個單一的工具集合了不同類型的CMS的常見的漏洞。CMSmap目前只支持WordPress，Joomla和 Drupal。

主要功能

1.其可以檢測目標網站的cms基本類型，CMSmap默認自帶一個WordPress，Joomla和Drupal插件列表，所以其也可以檢測目標網站的插件種類；
2.Cmsmap是一個多線程的掃描工具，默認線程數為5；
3.工具使用比較簡單，命令行的默認的強制選項為target URL；
4.工具還集成了暴力破解模塊；
5.CMSmap的核心是檢測插件漏洞，其主要是通過查詢數據庫漏洞網站（www.exploit-db.com）提供了潛在的漏洞列表。

運行截圖

暴力破解如下圖：

Cmsmap檢測到一個可以上傳插件的用戶的標示（可能是admin），cmsmap就會上傳一個webshell。下圖可能cmsmap的wp插件安裝列表：

除了具有有效的憑證，在這訪問webshell的攻擊者能夠執行操作系統命令，并試圖進一步提權。

下載地址

https://github.com/dionach/CMSmap

寫在最后

Cmsmap可以上傳用戶自定義的wenshell，CMSmap還支持WordPress的和Joomla密碼哈希的離線暴力破解。

牛逼的python大牛們，可以嘗試，將我們國內的cms的漏洞寫工具中。

[參考信息來源 dionach.com ，轉載須注明來自FreeBuf黑客與極客（FreeBuf.COM）]