1
GitHub - gh0stkey/Command2API: Command2API - 万物皆可API
source link: https://github.com/gh0stkey/Command2API
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Command2API
作者:key@元亨实验室
简介:这是一个可以实时获取执行命令结果的脚本,脚本原理就是一个线程开启Web服务,一个线程执行命令,通过全局变量与Web服务共享执行命令的结果。
举例说明:以近期Log4j的RCE举例,在内网的安全测试中,由于网络环境限制导致没有DNSLog平台可用,这时候做Log4j的漏洞验证就考虑直接查看LDAP服务是否有连接进来,但是现成的JNDI注入工具开启服务并没有API可以直接拉取对应服务的结果,这就导致需要人工去查看,很费时间,再加上已经写好BurpSuite被动插件进行扫描了,为了节省时间就简单写了这个脚本用于获取JNDI工具的执行结果并通过API的形式返回,便于插件拉取结果进行漏洞验证。
执行命令:
python Command2Api.py "执行的命令" Web运行的端口
接着在命令中会输出对应的URL,替换HOST访问即可获取:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK