正文

【工具分享】图形化综合Web漏洞利用工具-Web Exploit Tool

admin
admin V管理员 /0 评论 /15 阅读
0801
文章最后更新时间2025年08月01日,若文章内容或图片失效,请留言反馈!

免责声明:本文仅供安全研究与学习之用,严禁用于非法用途,违者后果自负。

玄武盾技术实验室资源共享库上线,你想要的资料都在这里(全免费):

网站链接:  http://xwdjs.ysepan.com/

正文

简介

Web Exploit Tool 是danran12师傅编写的一款图形化综合Web漏洞利用工具,旨在为安全研究人员提供一个方便、高效的测试平台。本工具采用模块化设计,易于扩展,目前集成了多个流行的OA系统和通用组件的漏洞利用模块。

工具目前集成了以下漏洞利用模块:

泛微 (Weaver OA)

  • 前台登录绕过 + 后台组合拳RCE

Jeecg-Boot

  • 全漏洞扫描 (jeecg-all)

  • 远程命令执行 (RCE)

    • Jeecg-Boot: AviatorScript RCE

    • Jeecg-Boot: jmreport/testConnection RCE

    • Jeecg-Boot: sysMessageTemplate/sendMsg Ftl RCE

  • SQL注入 (SQL Injection)

    • Jeecg-Boot: onlDragDatasetHead/getTotalData SQL注入

    • Jeecg-Boot: jmreport/qurestSql SQL注入

    • Jeecg-Boot: jmreport/show 注入 (v3.5.0-3.5.1)

    • Jeecg-Boot: /sys/api/getDictItems SQL注入

    • Jeecg-Boot: getDictItemsByTable SQL Injection

    • Jeecg-Boot: sys/duplicate/check SQL Injection

    • Jeecg-Boot: /sys/dict/queryTableData SQL注入

  • 模板注入 (SSTI)

    • Jeecg-Boot: JmReport SSTI RCE

    • Jeecg-Boot: /jmreport/loadTableData Freemarker SSTI

  • JNDI注入 (JNDI Injection)

    • Jeecg-Boot: jeecgFormDemoController.do JNDI注入

    • Jeecg-Boot: JNDI Injection (Auto-Verify)

  • 文件上传 (File Upload)

    • jeecg-boot/jmreport/upload 任意文件上传

    • Jeecg-Boot: commonController.do 任意文件上传

    • Jeecg-commonController.do parserXml 文件上传

  • 其他漏洞

    • Jeecg-Boot: 任意文件读取

    • Jeecg-Boot: 未授权访问-用户列表

    • JeecgBoot: Arbitrary Password Reset

    • Jeecg-Boot: 未授权访问检测

使用

获取

web-exploit-tool

每日资源分享【综合漏洞自检工具

综合漏洞自检测工具

你的「赞」就是我更新的动力,随手点个「赞」吧!

声明:技术文章均收集于互联网,仅作为本人学习、记录使用。侵权删


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下