• Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • DDOS
    • Kali Linux / Parrot
    • SQL Injection
    • Virus-Trojan-Rat
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
  • Tin tức
  • Kiến thức
AnonyViet
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • DDOS
    • Kali Linux / Parrot
    • SQL Injection
    • Virus-Trojan-Rat
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
  • Tin tức
  • Kiến thức
No Result
View All Result
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • DDOS
    • Kali Linux / Parrot
    • SQL Injection
    • Virus-Trojan-Rat
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
  • Tin tức
  • Kiến thức
No Result
View All Result
AnonyViet
No Result
View All Result

Giới thiệu công cụ khai thác lỗ hổng ứng dụng Web

AnonyViet by AnonyViet
14/12/2015 - Updated on 16/12/2020
in Kali Linux / Parrot
0

Hôm nay mình giới thiệu với các bạn cách sử dụng công cụ FIMAP viết bằng python khai thác lỗ hổng LFI tự động để chiếm quyền truy cập shell hệ thống.Lỗ hổng LFI giống như SQL Injection việc tìm kiếm tốn nhiều thời gian và ngày càng ít máy chủ web bị lỗi này.

FIMAP giúp nâng cao tốc độ và khả năng tăng cơ hội của chúng ta về việc tìm kiếm lỗ hổng.FIMAP tự đông hóa quá trình, nó có khả năng quét mục tiêu duy nhất , Dork google và quét từ danh sách tập tin.

Các bài viết liên quan

môi trường ảo python windows

Cách thiết lập môi trường ảo Python trên Windows 10

17/01/2021
Các kiểu dữ liệu cơ bản trong Python 4

Các kiểu dữ liệu cơ bản trong Python

12/01/2021
tấn công brute force là gì

Tấn công Brute Force là gì và Cách ngăn chặn

29/12/2020
Diễn biến vụ việc FireEye bị Hack

Công ty FireEye bị Hack bởi Hacker có năng lực đẳng cấp thế giới

09/12/2020 - Updated on 14/12/2020

Ngoài ra với công cụ FIMAP chúng ta có thể thu thập dữ liệu từ trang web mục tiêu và xuất ra thông tin dưới dạng danh sách được sử dụng sau đó để quét hàng loạt.
Yêu cầu hệ thống:
+ Python đã được cài đặt trên hệ thống https://www.python.org/download/releases/2.7/
+ Bản cài đặt FIMAP https://github.com/Oweoqi/fimap

69351331.png

OK nếu giả sử bạn đã có sẵn Python cài đặt, bạn sẽ download phiên bản mới nhất của FIMAP, giản nén ra thư mục cần chỉ rõ. Bạn sẽ cần phải mở dấu nhắc lệnh, cd đến thư mục chứa fimap .Bạn có thể gõ “-h fimap.py” để xem tùy chọn có sẵn
22221768.png

Xem thêm:  HackingTool: Tất cả công cụ hack dành cho hacker

Bạn sẽ tìm thấy hầu hết các tùy chọn và các đối số được gắn với chế độ nào bạn đang sử dụng. Có bốn chế độ cơ bản: đơn quét, scan hàng loạt, Google quét, và chế độ thu hoạch. Để scan thực hiện LFI kiểm tra và kiểm tra đối với một url duy nhất. Bạn chỉ cần cung cấp các URL để quét

COMMAND: fimap.py -s -u http://target-site.com/index2.php?x=

Nếu bạn chỉ quét một trang web mục tiêu duy nhất bạn có thể quét bằng cách sử dụng chế độ Harvester đầu tiên để giúp tăng cơ hội tìm kiếm một liên kết dễ bị tổn thương.
COMMAND: fimap.py -H -u http://target-site.com/ -w output.txt

Chú ý: Bạn có thể xác định độ sâu thu thập dữ liệu bằng cách thêm “<số lượng trang để thu thập thông> -d” cờ, như là mặc định được thiết lập để 1

COMMAND: fimap.py -H -u http://target-site.com/ -d 3 -w output.txt

Bây giờ chúng ta có tập tin đầu ra, chúng ta có thể chuyển sang chế độ quét và kiểm tra tất cả các liên kết. Bạn chỉ cần file output.txt từ bước trên vào đường dẫn như sau:

COMMAND: fimap.py -m -l /path/to/list/output.txt
65297278.png
69082860.png

Nếu bạn muốn tìm kiếm với Google và sử dụng dorks Google, bạn có thể chuyển đổi chế độ và sử dụng cú pháp như sau:

COMMAND: fimap.py -g -q <Google Dorks> .Ta thử với dork inurl:index2.php?x=64583092.png
84136487.png
Chú ý: Bạn có thể tiếp tục xác định các thông số quét Google bằng cách xác định thời gian trong giữa các yêu cầu Google bằng cách sử dụng “–googlesleep = <time>” và các trang để đọc cho kết quả từ việc sử dụng “-p <số trang>”. Nếu bạn xác định số lượng của các trang để trả lại bạn cũng có thể thêm số lượng các kết quả mỗi trang để sử dụng bằng cách sử dụng “–results = <10,25,50,100>”, với 100 là giá trị mặc định. Cú pháp đầy đủ sẽ như thế này:

Xem thêm:  Tấn công Brute Force là gì và Cách ngăn chặn

COMMAND: fimap.py -g -q inurl: index2.php?x = –googlesleep = 5000 -p 15 -results = 50

Bạn có thể tìm thấy kết quả lưu trữ trong hai tập tin, mà bạn sẽ cần phải tìm kiếm trên hệ thống của bạn: fimap_results (xml) và fimap-log (txt). Hai tập tin chứa các kết quả được lưu trữ từ tất cả các lần quét của bạn. Bạn cũng có thể gõ “-x” để xem một danh sách các mục tiêu có thể thực hiện khai thác

COMMAND: fimap.py –x
10367127.png
64109387.png

Chọn shell cần upload và xem kết quả
69351331.png
Ta đã chạy shell trên máy chủ thành công.Việc còn lại tùy thuộc vào bạn :)
Ngoài ra fimap còn dùng để quét lỗ hổng RFI.Mình sẽ trình bày trong các bài sau :)
Hiện nay công cụ này vẫn còn đang được phát triển vì vậy các bạn có thể theo dõi các dự án để biết thêm thông tin.
Bạn có thể tìm thấy nó trong Kali http://tools.kali.org/web-applications/fimap

Tags: attackfimaphackpythonweb
Previous Post

[DDOS] XMLRPC – Script DDos

Next Post

Tìm lại mật khẩu Wi-Fi trong máy tính

AnonyViet

AnonyViet

Kiến thức như một ngọn lửa, càng chia sẽ nó sẽ càng bùng cháy!

Related Posts

Cách cài đặt Parrot OS lên Laptop hoặc PC 5
Kali Linux / Parrot

Cách cài đặt Parrot OS lên Laptop hoặc PC

03/01/2021
parrot security os vmware
Kali Linux / Parrot

Hướng dẫn cài đặt Parrot Security OS trên VMWare

26/12/2020 - Updated on 27/12/2020
viết tiếng Việt trên kali linux
Kali Linux / Parrot

Hướng dẫn cài bộ gõ tiếng Việt trên Kali Linux mới nhất bằng ibus-unikey

05/03/2020 - Updated on 16/12/2020
Cách cài song song Kali Linux với windows 10 mới nhất 6
Kali Linux / Parrot

Cách cài song song Kali Linux với windows 10 mới nhất

13/11/2018 - Updated on 16/12/2020
Scans vulnerabilities of every web page with Nikto
Kali Linux / Parrot

Hướng dẫn Hack Website với Nitko trên Kali Linux

26/11/2017 - Updated on 16/12/2020
Hướng dẫn tải và cài đặt hệ điều hành BlackArch Linux trên VituralBox 1
Kali Linux / Parrot

Hướng dẫn tải và cài đặt hệ điều hành BlackArch Linux trên VituralBox

14/08/2017 - Updated on 16/12/2020
Next Post
Tìm lại mật khẩu Wi-Fi trong máy tính

Tìm lại mật khẩu Wi-Fi trong máy tính

Liên hệ Quảng Cáo

Lien he AnonyViet

Đối tác

Fshare

Các bài mới

lenh pha huy o cung windows 10

Đây là lệnh trên Windows 10 khiến ổ cứng bị hỏng

18/01/2021
dinh vi dia chi nha bang ip seeker

Cách dùng Seeker để xác định địa chỉ người khác bằng GPS

18/01/2021
ghép ảnh áo dài tết

Cách ghép mặt vào ảnh áo dài Tết không cần Photoshop

17/01/2021 - Updated on 18/01/2021
Các ứng dụng bảo vệ quyền riêng tư tốt nhất cho Android và iOS 7

Các ứng dụng bảo vệ quyền riêng tư tốt nhất cho Android và iOS

17/01/2021
môi trường ảo python windows

Cách thiết lập môi trường ảo Python trên Windows 10

17/01/2021

Ads

Giới thiệu

AnonyViet

AnonyViet

Nơi chia sẻ những kiến thức mà bạn chưa từng được học trên ghế nhà trường!

Chúng tôi sẵn sàng đón những ý kiến đóng góp, cũng như bài viết của các bạn gửi đến AnonyViet.

Hãy cùng AnonyViet xây dựng một cộng đồng CNTT lớn mạnh nhất!

Giới thiệu

AnonyViet là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. AnonyViet cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Liên kết

Game B52 |  Tải game đổi thưởng online | Chơi game bài hot 2020 | Chơi game bài đổi thưởng online | Gam Víp | 88vin link

Liên hệ đặt Ads: [email protected]

Liên hệ

Email: anonyviet.com[@]gmail.com

1409 Hill Street #01-01A
Old Hill Street Police Station
Singapore 179369

Bài viết mới

  • Đây là lệnh trên Windows 10 khiến ổ cứng bị hỏng
  • Cách dùng Seeker để xác định địa chỉ người khác bằng GPS
  • Cách ghép mặt vào ảnh áo dài Tết không cần Photoshop
  • Các ứng dụng bảo vệ quyền riêng tư tốt nhất cho Android và iOS
  • Cách thiết lập môi trường ảo Python trên Windows 10
  • Cách dùng Absorber Keylogger bí mật ghi lại thao tác bàn phím
  • Giới thiệu về AnonyViet
  • Liên hệ Quảng cáo
  • Privacy & Policy
  • Contact

© 2019 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ.

No Result
View All Result
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • DDOS
    • Kali Linux / Parrot
    • SQL Injection
    • Virus-Trojan-Rat
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
  • Tin tức
  • Kiến thức

© 2019 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ.