高质量的安全文章,安全offer面试经验分享
尽在 # 掌控安全EDU #
漏洞盒子自动提交脚本
文件的大致作用如图
前期的环境配置
这一段是后面加的,压缩包里面多了一个librays.txt的文件
在上图中是没有的,这里面存放的是使用脚本需要用到的python库,在使用前先用下面的命令安装一下需要的库
pip install -r librays.txt
然后配置一下selenium所需要的环境,打开chorme浏览器查看自己的chrome版本
然后去下载seleniumdriver这个驱动,点击跳转,下载链接
在里面找到和自己chrome浏览器对应的版本号,然后点进去(找不到一模一样的找相近的)
windows系统下载这个32位的就好
里面有一个chromedriver.exe文件,解压出来放到一个空文件夹下
然后把这个文件的路径添加到path这个环境变量中,配置就结束了
开始使用
使用提交文件的第一件事就是需要修改config.yaml文件中的配置信息,需要修改的点上面有会有**作为标记,里面的注释也提示的很详细
1.第一个修改点,漏洞盒子的登录账号和密
下面要修改的内容都是content下的内容
1.漏洞标题的前后缀,例如说你想写某某站点存在SQL注入,那么你只需要在这里写SQL注入就好了
2.type2是你要提交的漏洞类型,在define的内容中有对照支持提交的类型,目前只有SQL注入,任意文件操作,弱口令
3.修改漏洞简述和修复方案,如果内容很长的话可以换行写,自己在内容后面加上
n,不然填写的时候,他们都是连在一起的
配置结束
打开bugs.xlsx文件填写要提交的漏洞信息
1.字段的含义如下,如果说你提交的漏洞类型不需要某列的数据,那么你不填也行
2.这里poc的话如果要填http请求包,直接bp抓包然后复制放进去就好了
3.复现步骤里面呢是用@来进行分行的,如果说要上传图片的话,那么就需要填写图片的在本机上的绝对路径,并且独占一行,也就是如下面这样,可以现在记事本里面分行也好,然后在删成一行填进去
这里存在漏洞,@D:/1.png@
如果是刚开电脑第一次交洞,那么先自己打开浏览器交一次(不需要真的提交),就是要点一下提交漏洞,因为他会有个答题的弹框,第一次答完再去启动脚本
poc的修改(不会写poc的不用看)
关于这个脚本我是想简化大家写poc时一些步骤,所以才给出来的,如果说有小伙伴可以写出自动验证,并且配合这个提交脚本xlsx文件的,那么自己写也行
1.这里要修改的就是poc和exp这两个方法,poc负责验证漏洞存在,exp负责验证可以利用,并且填写漏洞信息到excel中,如果说你要验证的这个漏洞只需要验证存在就可以提交,那么写好poc就OK了,exp中就修改提交的内容格式就好了
2.poc 文件返回的是布尔值,存在就返回true否则false
3.exp的话截图不是太清楚,直接去看源代码吧,我把注释进行了补充
附件:后台回复“0357”
申明:本公众号所分享内容仅用于技术讨论,切勿用于违法途径,违者必究,后果需自行承担,与本公众号及作者无关
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
扫码白嫖视频+工具+进群+靶场等资料
扫码白嫖!
原文始发于微信公众号(掌控安全EDU):漏洞盒子自动提交脚本(白嫖)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论