Comments (12)
Fala iramar,
Na realidade, a opção -D desabilita um checagem por updates que é realizada pelo webshell jsp implantando dentro do servidor explorado (o webshell jsp verifica se há neste link: http://webshell.jexboss.net/jsp_version.txt) , e não a checagem realizada pelo tool client.
Várias pessoas já pediram tbm para desabilitar essa checagem realizada pelo tool client (assim como você), de forma que eu iria adicionar uma opção diferente para isso. No entanto, para evitar que fique confuso, vou alterar a opção -D para desativar as duas checagem - e deixar um esclarecimento no help. Em alguns minutos realizo esse commit.
A opção de suporte a proxy irei providenciar tbm :D.
Novamente, vlw pelo report. =]
from jexboss.
Iramar, commit realizado. Pode verificar se resolveu, por favor?
Thanks
from jexboss.
Fiz dois testes com "-D" e sem os dois com o mesmo resultado onde o script fica travado logo de cara.
$ python jexboss.py -host http://hostname.com
Depois de um se dou dois enters ele retorna a saída esperada.
Se quiser reproduzir bloqueia acesso a qualquer host com iptables e libera só para o proxy.
Outra feature interessante seria poder incluir cabeçalhos nas requests. Isso ajuda caso o server tenha basic authentication configurado direto no Apache.
from jexboss.
Eu havia testado com o iptables e deu o resultado esperado aqui... Tu está rodando ele no Windows? No windows nunca fiz testes (apenas contra windows)... Quando tu diz que ele fica travado logo de cara, significa que ele está parado, aguardando o response (até dar timeout)? No fix que liberei ontem, mesmo sem o -D, ele deve capturar o timeout exception e continuar a execução.
Tu está testando um host externo, que precisaria passar pelo proxy, ou rede privada? Se for o primeiro caso, então deveria receber um timeout tbm.
Vlw
from jexboss.
OBS: hoje a tarde devo testar e, se for tudo certo, libero o suporte a proxy http e socks...
from jexboss.
Estou rodando o script em uma máquina Windows no Git Bash em uma rede privada sem roteamento para internet. Só sai via proxy. O host alvo esta na internet.
Quando executo o comando simplesmente não retorna nada. Deixa lá parado por uns 10 minutos. Se dou dois enters ele exibe os resultados. Eu imaginava que você estava usando o proxy definido nas variáveis de ambiente do bash ou algo assim.
Se poder explicitar o proxy na linha de comando fica melhor eu acredito.
Depois que implementar da um toque aqui que eu testo na minha instância.
from jexboss.
Fala iramar,
(editando)
Adicionei a opção de proxy, mas ainda não commitei. Instalei um windão aqui com git bash e notei que, na verdade, essa "travada" que está ocorrendo aí é nas funções print. O git bash mantém as informações do display em buffer até receber um flush da app. No caso, quando vc aperta uns enters, acaba confirmando as opções para não realizar as explorações (input("yes/NO") e, assim, o script termina (então, o git bash, finalmente, realiza o flush do display).
Vou adicionar uns flush's do stdout manualmente e liberar junto com a atualização do proxy...
from jexboss.
OBS:
Você também pode rodar o python com o argumento -u, de forma a desabilitar o buffer do stdout. Isso deve resolver o problema dessa congelada...
eg.
python -u jexboss.py -host http://target
from jexboss.
Legal! Depois vou testar e te falo.
from jexboss.
Com o -u funcionou perfeitamente. :)
from jexboss.
Jóia, vlw por testar =D. Fiz o commit do suporte ao proxy tbm.
from jexboss.
Testei aqui com o proxy e ta funcionando! Pode fechar a issue.
Segue mais uma sugestão. Incluir opção -H para adicionar headers.
from jexboss.
Related Issues (20)
- request to add CVE-2018-11776 HOT 1
- Checking Struts2 Error HOT 1
- (invalid literal for int() with base 10 error when running JMX Tomcat HOT 2
- An error occurred while connecting to the host google.com (list index out of range)
- still vulnerable?
- Failed to parse: HOT 1
- DH key too small
- Resume session without re-exploiting
- can't do default windows commands like dir in meterpreter session
- will you update that tools
- how to update this tools??? HOT 1
- * Error contacting the command shell. Try again later... HOT 6
- Read timed out HOT 1
- https / port 443 HOT 1
- Why is the remote WAR sending Host & remote IP to some C&C? HOT 3
- CVE-2017-12149 HOT 2
- More customization
- Problem in Shell
- * Package urllib3 not installed. HOT 2
- urllib3.exceptions.LocationParseError: Failed to parse
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from jexboss.