Drupwn – Kali Linux 中的 Drupal 枚举工具和安全扫描器
Drupal 是用于制作您每天使用的许多网站和应用程序的内容管理软件。除了其很酷的功能外,还可能存在与 Drupal CMS 相关的一些风险。过时的版本可能会导致 Web 应用程序的安全性受损。我们可以通过应用自动化方法来测试由网站组成的 Drupal CMS。 Drupwn工具是用Python语言开发的自动化工具,用于对目标域进行枚举和利用。该工具由可以针对目标域进行测试的 CVE 组成,如果应用程序易受攻击,则可以利用这些 CVE。 Drupwn 工具在 GitHub 上可用,它是免费且开源的。
Drupwn 工具有两种可用的模式。
- 枚举
- 开发
1.枚举
- 执行用户枚举
- 执行节点枚举
- 执行默认文件枚举
- 执行模块枚举
- 执行主题枚举
- 执行 Cookie 支持
- 执行用户代理支持
- 执行基本身份验证支持
- 执行请求延迟
- 执行枚举范围
- 执行记录
2. 剥削
- 支持漏洞检查器
- 支持 CVE 开发者
注意:确保您的系统上安装了Python ,因为这是一个基于 Python 的工具。点击查看安装过程——Linux上的Python安装步骤
在 Kali Linux 操作系统上安装 Drupwn 工具
第 1 步:使用以下命令在您的 Kali Linux 操作系统中安装该工具。
git clone https://github.com/immunIT/drupwn.git
第 2 步:现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。
cd drupwn
第 3 步:您在 Drupwn 的目录中。现在您必须使用以下命令安装 Drupwn 的依赖项。
sudo pip3 install -r requirements.txt
第 4 步:运行 setup.py 文件以完成安装。
sudo python3 setup.py install
第 5 步:所有依赖项都已安装在您的 Kali Linux 操作系统中。现在使用以下命令运行该工具并检查帮助部分。
drupwn -h
在 Kali Linux 操作系统上使用 Drupwn 工具
示例 1:使用枚举模式
python3 ./drupwn –mode enum –target http://192.168.206.133/drupal
在此示例中,我们使用枚举模式来提取有关目标的信息。我们得到了目标使用的 CMS 版本。
在下面的屏幕截图中,er 获得了目标域使用的主题列表。
在下面的屏幕截图中,我们获得了托管在域服务器上的文件,
示例 2:使用 开发模式
python3 ./drupwn –mode exploit –target http://192.168.206.133/drupal
在此示例中,我们使用利用模式来利用目标上存在的漏洞。我们得到了目标使用的 CMS 版本。
在下面的屏幕截图中,我们列出了 Drupwn 工具数据库中可用的 CVE
在下面的屏幕截图中,我们正在针对 CVE-2019-7600 测试目标域,它容易受到 CVE 的攻击。
在下面的屏幕截图中,我们将利用目标域。
在下面的屏幕截图中,我们利用了目标域,并通过输入 ls 命令列出了系统上可用的文件和目录。
在下面的屏幕截图中,我们正在打印访问系统的当前用户名。
