Jenkins弱口令扫描器

Jenkins是一个开源软件项目,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。

默认地Jenkins不包含任何的安全检查,如果未做好权限控制,可以通过其中一个未授权的命令执行获取服务器权限。当然如果配置了授权访问和资源访问权限设置,也可以批量抓取用户名进行暴力破解(有可能产生告警信息)。

由于Jenkins版本不同,因此抓取用户列表的CGI也不同,其中有很多坑也需要在代码中一一处理。

使用命令:

python jenkins.py -u http://www.xxx.com/jenkins/

( 默认线程数:10,指定线程数: -t 20 , 指定爆破字典: -t : comm_dic.txt )

脚本运行截图:

作者:blackye

来源:51CTO

时间: 2024-07-29 06:53:39

Jenkins弱口令扫描器的相关文章

企业服务器安全性测试 SQL Server弱口令测试

对于企业而言,服务器的重要性是不言而喻的.因此管理员们往往以维持服务器的稳定.高效地运行作为自己的工作目标,但是对于服务器的安全性往往考虑得较少,至少对于某些管理员是这样的. 最近笔者进行了一例服务器的安全测试,下面把这例测试过程写下来,希望对大家有所启示. 测试工具: 1.S扫描器(一种速度极快的多线程命令行下的扫描工具) 2.SQL登陆器 3.DNS溢出工具 4.cmd(微软命令行工具) 4.scansql.exe(SQL弱口令扫描工具) SQL Server弱口令测试 1.缘由: SQL

学习c/c++遇到问题找不到资料,关于实现tcp三步握手以及c是怎样实现弱口令检测的问题

问题描述 学习c/c++遇到问题找不到资料,关于实现tcp三步握手以及c是怎样实现弱口令检测的问题 刚学完synflood的源码,但是有疑问,是不是synflood只做到了第二步就完毕了,谁有有源码可以给我看看 完整的tcp握手三步是怎样完成的.? 还有 ,对于一些远程主机扫描 弱口令检测等等的,很好奇是怎么实现的,求解.例如ipc 等等.注入类此.希望在csdn能得到高手指教. 新手一枚,求解. 解决方案 可以参考以下链接 TCP三步握手建立连接(1)-----主动连接syn包发送http:/

18atcskd2w这种密码竟然还是弱口令?

本文讲的是 18atcskd2w这种密码竟然还是弱口令?,多个大型论坛的用户已被告知尽快修改密码,近日,有大约4500万份身份凭据被盗. LeakedSource报道,来自超过1100个网站和社区的数百万用户身份凭据被盗,相关网站包括techsupportforum.com.autoguide.com.petsguide.com.motorcycle.com.这些网站的母公司VerticalScope在今年二月份曾遭到一次攻击,但此事并未公开报道. VerticalScope在公司网站上发布的安

僵尸网络的发展,“智能设备”可帮了大忙(含Top 10物联网设备弱口令 )

近年来,随着互联网技术的快速发展以及国家政策的大力支持,物联网这一领域也跟着水涨船高,各项具有应用意义的项目也在不断拓展,比如智能家居,视频监控系统等,身处千里之外,却能知悉家中的一举一动,这也体现了"万物互联"的概念.其中,作为物联网的终端节点,比如智能路由器,视频监控器等设备,随着大众将目光逐步转移到物联网时,这些设备因自身的安全性问题也遭受到来自恶意攻击者的觊觎. 据悉,目前针对物联网设备的恶意软件越来越普遍了,基本每个月都会发现新的变种.而据分析,在过去的两年里,发现的所有物联

由mysql弱口令取得system权限的实战_漏洞研究

由mysql弱口令取得windows的system权限的实战   今年五月mix在幻影论坛公布了一篇关于mysql入侵的文章(<<Windows环境下通过MySQL以SYSTEM身份   执行系统命令>>,连接地址='http://www.ph4nt0m.org/bbs/showthread.php?threadid=33006' target=_blank>http://www.ph4nt0m.org/bbs/showthread.php?threadid=33006),反

弱口令weblogic

弱口令weblogic 大多部署在7001.8080.6050端口上,并且默认后台是console 常见弱口令 用户名weblogic 密码weblogic weblogic1 weblogic12 weblogic123

防止mysql用户root密码弱口令的攻击方法

文章介绍关于防止mysql用户root密码弱口令的攻击,大家可以看看自己的mysql root是不是也存在这样的安全隐患. 1.连接到对方MYSQL 服务器 mysql -u root -h 192.168.0.1 mysql.exe 这个程序在你安装了MYSQL的的BIN目录中. 2.让我们来看看服务器中有些什么数据库 mysql>show databases; MYSQL默认安装时会有MYSQL.TEST这两个数据库,如果你看到有其它的数据库那么就是用户自建的数据库. 3.让我们进入数据库

postgresql 弱口令 UDF 攻击

1.首先通过端口扫描到弱口令 postgresql 账号密码 2.UDF  自定义函数,本地首先编译制作 so 文件,并上传到服务器 参考:https://www.postgresql.org/docs/9.5/static/xfunc-c.html  gcc cmd2.c -I`pg_config --includedir-server` -fPIC -shared -o cmd.so cmd2.c: #include "stdlib.h" #include "postgr

DaoCloud某处弱口令(疑似测试环境)+docker remote API未授权访问

rt http://123.59.138.141/ 直接访问2375端口 还可以直接执行命令 具体请参考 http://drops.wooyun.org/papers/15892 http://123.59.138.141/ 直接访问2375端口 还可以直接执行命令 具体请参考 解决方案: 2375 对外 弱口令