标签归档:Padding Oracle

自动扫描和检测多个网站的Padding Oracle漏洞的脚本

基于PadBuster改写了一个测试 ASP.net Padding Oracle漏洞的自动化脚本。

在PadBuster.pl的基础上增加了自动扫描和检测多个网站是否存在Padding Oracle漏洞的功能,使用起来应该会比原来的脚本更加直观和方便。

具体参见:猛戳这里

具体的使用方法如下:
h.jpg
1. 单个URL自动获取webresource/scriptresource并尝试获取密钥:
singleURL.jpg
encrypted.jpg
2. 多个URL自动获取webresource/scriptresource导出webresource.txt并尝试获取密钥导出encryptedvalue.txt(脚本当前目录):
multiURLs.jpg
encrypted values.jpg
show encrypted values.jpg
3. 基于以获取的密钥暴力获取web.config的url:
bruteforce.jpg