渗透测试工具fimap
fimap
Fimap是一款本地及远程的文件包含漏洞检测工具,并能对检测到的漏洞进行利用,带了一个google的语法搜索功能,这款工具只针对文件包含漏洞的检测及利用。
使用说明
| 扫描单个url | fimap -u |
|---|---|
| 扫描列表url | fimap -m -l |
| 扫描谷歌搜索结果 | fimap -g -q |
题目
任务:靶机有个网站,它的php文件有文件包含漏洞,kali去拿靶机的shell
实验环境:雨林木风的kali(攻击机)——雨林木风的debian6(靶机)
先利用fimap查看靶机有什么漏洞
说明,php服务没问题,是该php文件在编写代码的过程中,是有漏洞的,具体是文件包含漏洞。
fimap -x 显示之前扫过的ip
列出曾经检测过的网页。
列出此漏洞网页有3个可以利用的点
1 拿shell