ALAT OTOMATIS ALL-IN-ONE OS COMMAND INJECTION DAN EKSPLOITASI UPDATE COMMIX

Simpan Postingan

Changelog v0.1b-385e11b : 

+ * Ditambahkan baru payload berbasis eval (str_replace penyaring memotong)
+ * Ditambahkan cek (GET) Format URL tenang
+ * Ditambahkan opsi baru "-base64", yang mengkodekan perintah OS untuk Base64 . Format
+ * Controlled.py; Mempercepat

Commix-v0.1b-385e11b

Commix (kependekan [com] mand [i] njection e [x] ploiter) memiliki lingkungan yang sederhana dan dapat digunakan, dari pengembang web, penguji penetrasi atau bahkan peneliti keamanan untuk menguji aplikasi web dengan pandangan untuk menemukan bug, kesalahan atau kerentanan terkait dengan perintah serangan injeksi. Dengan menggunakan alat ini, sangat mudah untuk menemukan dan mengeksploitasi kerentanan perintah injeksi dalam parameter tertentu yang rentan atau tali. Commix ditulis dalam bahasa pemrograman Python.

Misalnya screencapture Update commix-v-0.1b: Otomatis All-in-One OS Command Injection dan Eksploitasi Alat. Telah Diuji pada: Kali Sana, Windows 7 / 8.1 / 10, Debian, Ubuntu, Arch-Linux

Disclaimer : Alat ini hanya untuk pengujian dan tujuan akademik dan hanya dapat digunakan di mana persetujuan yang ketat telah diberikan. Jangan menggunakannya untuk tujuan ilegal !!


Pemakaian:

python commix.py [options]

Pilihan:

-h, --help Show help and exit.
--verbose Enable the verbose mode.
--install Install 'commix' to your system.
--version Show version number and exit.
--update Check for updates (apply if any) and exit

Target:

This options has to be provided, to define the target URL.


--url=URL Target URL.
--url-reload Reload target URL after command execution.

Permintaan:

These options can be used, to specify how to connect to the target
URL.

--method=METHOD HTTP method (GET or POST).
--host=HOST HTTP Host header.
--referer=REFERER HTTP Referer header.
--user-agent=AGENT HTTP User-Agent header.
--cookie=COOKIE HTTP Cookie header.
--headers=HEADERS Extra headers (e.g. 'Header1:Value1\nHeader2:Value2').
--proxy=PROXY Use a HTTP proxy (e.g. '127.0.0.1:8080').
--auth-url=AUTH_.. Login panel URL.
--auth-data=AUTH.. Login parameters and data.
--auth-cred=AUTH.. HTTP Basic Authentication credentials (e.g.'admin:admin').

Injeksi:

These options can be used, to specify which parameters to inject and
to provide custom injection payloads.


--param=PARAMETER Parameter(s) to inject (use 'INJECT_HERE' tag).
--suffix=SUFFIX Injection payload suffix string.
--prefix=PREFIX Injection payload prefix string.
--technique=TECH Specify a certain injection technique : 'classic',
'eval-based', 'time-based' or 'boolean-based'.
--maxlen=MAXLEN The length of the output on time-based technique
(Default: 10000 chars).
--delay=DELAY Set Time-delay for time-based and boolean-based
techniques (Default: 1 sec).
--base64 Use Base64 (enc)/(de)code trick to prevent false-positive results.

Pecahan:

These options can be used, to enumerate the target host.


--current-user Retrieve current user.
--hostname Retrieve server hostname.
--is-root Check if the current user have root privs

Download : Master.zip | Clone Url

Sumber: https://github.com/stasinopoulos | Posting kami Sebelum

Exploitations

Juni 19, 2016 • 0 komentar

Disclaimer: gambar, artikel ataupun video yang ada di web ini terkadang berasal dari berbagai sumber media lain. Hak Cipta sepenuhnya dipegang oleh sumber tersebut. Jika ada masalah terkait hal ini, Anda dapat menghubungi kami di halaman ini.