En la actualidad, existen muchas herramientas que reconocen los Sistemas de Gestión de Contenido (CMS) –como WordPress o Drupal y, en cierta medida, explotan vulnerabilidades. CMSeek se une a la lista de estas herramientas.
Un Content Management System (CMS) gestiona la creación y modificación de contenido digital. Por lo general, es compatible con múltiples usuarios en un entorno de colaboración. Algunos ejemplos notables son: WordPress, Joomla, Drupal, etc .
1. Características CMSeeK
CMSeeK cuenta con 3 funciones interesantes:
- Detección básica de CMS de más de 20 CMS
- Exploraciones avanzadas de WordPress – Detecta la versión, usuarios, busca vulnerabilidades de versión y mucho más.
- Sistema modular de fuerza bruta – Utiliza módulos de fuerza bruta pre-hechos y lo mejor es que puedes crear tu propio módulo.
- Recomendación: 5 Formas de Crear Diccionario para Fuerza Bruta
2. Requisitos e instalación
Es muy fácil instalar y usar CMSeeK, solo asegúrate de tener python3 y git (solo para clonar el repositorio) instalados y entonces utiliza los siguientes comandos:
git clone https://github.com/Tuhinshubhra/CMSeeK
cd CMSeeK
python3 cmseek.py
El resto debería ser bastante autoexplicativo. Igual tomaré un ejemplo…
3. Uso y ejemplo
Una vez ejecutado el último comando, se nos abrirá la interfaz con todas las opciones disponibles. Para este ejemplo nos interesará la opción y . Empecemos…
A continuación, he tomado un ejemplo con Cloud9 (https://…c9users.io) para crear WordPress . Si te interesa realizar pruebas para WP, te recomiendo » Cómo instalar WordPress en Servidor Virtual Gratis con Cloud9.
Finalmente, se nos mostrará todos los detalles en la misma interfaz. Adicionalmente, todos los resultados del escaneo se almacenan en un archivo JSON llamado cms.json, que lo puedes encontrar dentro del directorio Result\<sitio-escaneado>
Por supuesto, también es una herramienta de explotación. CMSeek tiene un sistema de fuerza bruta modular lo que significa que puedes agregar tus módulos de fuerza bruta hechos a medida para trabajar con cmseek. En breve se creará una documentación adecuada para crear módulos.
Aquí puedes ver el uso del módulo de fuerza bruta por defecto (con la opción ):
Así como CMSeek, hay muchas otras herramientas para la detección y explotación de CMS que trataré próximamente. ¡No olvides compartirlo con los demás! :’)