Dotdotpwn的安装与使用
概述
DotDotPwn是一款目录遍历工具,用于发现 HTTP/FTP/TFTP 服务器的目录遍历漏洞,以及各种Web 应用(如 CMS、ERP、博客等)中的遍历目录漏洞。同时这款工具有一个独立于协议的模块,可以将所需的有效负载(payload)发送到指定的主机和端口。 另一方面,它也可以使用 STDOUT 模块以脚本方式使用。
安装
此前的Kali Linux版本中已经内置安装了dotdotpwn工具,但是2021.4版本发现没有安装这个版本,安装比较简单,有两种方式:
方式一:用apt安装,即apt install dotdotpwn
方式二:从Github上下载,然后运行相应的perl脚本即可。由于该工具需要perl环境,可以通过perl -v确认Kali Linux有相应的环境。
#git clone https://github.com/wireghoul/dotdotpwn.git
进入dotdotpwn目录
#cd dotdotpwn
运行./dotdotpwn.pl 脚本即可
使用
Dotdotpwn工具使用比较简单,指定选用的模块,比如http,以及目标主机即可开始
# ./dotdotpwn.pl -m http -h 192.168.140.137
Dotdotpwn还可以自行指定payload,用户可以根据提供的样例编辑修改payload, 会将payload发送到指定的主机。
STRIVE FOR PROGRESS,NOT FOR PERFECTION