CMSmap是一个Python编写的针对开源CMS（内容管理系统）的安全扫描器，它可以自动检测当前国外最流行的CMS的安全漏洞。 CMSmap主要是在一个单一的工具集合了不同类型的CMS的常见的漏洞。CMSmap目前只支持WordPress，Joomla和Drupal。 ‍‍
‍

‍

‍‍主要功能‍‍

1.其可以检测目标网站的cms基本类型，CMSmap默认自带一个WordPress，Joomla和Drupal插件列表，所以其也可以检测目标网站的插件种类；
2.Cmsmap是一个多线程的扫描工具，默认线程数为5；
3.工具使用比较简单，命令行的默认的强制选项为target URL；
4.工具还集成了暴力破解模块；
5.CMSmap的核心是检测插件漏洞，其主要是通过查询数据库漏洞网站（www.exploit-db.com）提供了潜在的漏洞列表。

‍‍

运行截图‍‍

暴力破解如下图：

Cmsmap检测到一个可以上传插件的用户的标示（可能是admin），cmsmap就会上传一个webshell。下图可能cmsmap的wp插件安装列表：‍‍

除了具有有效的凭证，在这访问webshell的攻击者能够执行操作系统命令，并试图进一步提权。‍‍

下载地址‍‍

https://github.com/dionach/CMSmap