点击上方蓝字“Ots安全”一起玩耍
Ppmap
一个用 GO 编写的简单扫描器/利用工具,它自动利用已知和现有的小工具(检查全局上下文中的特定变量)通过 Prototype Pollution 执行 XSS。注意:该程序仅利用已知的小工具,但不包括代码分析或任何高级原型污染利用,其中可能包括自定义小工具。
要求
确保安装了chromedp:
go get -u github.com/chromedp/chromedp
安装
-
自动地
-
在此处下载已编译的二进制文件
-
给它执行权限 chmod +x ppmap
-
手动(自己编译)
-
克隆项目:
git clone https://github.com/kleiton0x00/ppmap.git
-
将目录更改为 ppmap 文件夹:
cd ~/ppmap
-
构建二进制文件
go build ppmap.go
用法
使用该程序非常简单,您可以:
-
扫描目录/文件(甚至只是网站):echo 'https://target.com/index.html' | ./ppmap
-
或端点:echo 'http://target.com/something/?page=home' | ./ppmap
对于批量扫描:
cat url.txt | ./ppmap其中url.txt包含列中的所有 url。
演示
作为演示的一部分,
请随意在以下网站上测试该工具:https : //msrkp.github.io/pp/2.html
https://ctf.nikitastupin.com/pp/known.html
工作流程
通过启发式扫描确定网站是否容易受到原型污染
对已知小工具进行指纹识别(检查全局上下文中的特定变量)
显示最终利用并准备执行 XSS
工具地址:https://github.com/kleiton0x00/ppmap
原文始发于微信公众号(Ots安全):【安全工具】Ppmap XSS批量扫描
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论