使用Yakit快速刷取cnvd

admin 2025年2月15日23:25:39评论5 views字数 1128阅读3分45秒阅读模式

Yak-北半球最强web安全研发脚本语言

先上图证明可行

使用Yakit快速刷取cnvd

使用Yakit快速刷取cnvd

使用Yakit快速刷取cnvd

01

直接对三大供应商和铁塔公司批量刷

Yakit是yak衍生项目,里面集合了众多的工具,我真的强烈推荐。

(主要是我现在不想打开burp,看见burp头就大,虽然现在不能直接代替burp,但是功能真的很齐全了)

话不多说,我们直接讲怎么利用yakit对这些公司进行批量。

one

    批量的前提是我们需要一个数据库,来存放我们的数据,这个在yakit里面携带了。上图

使用Yakit快速刷取cnvd

端口域名扫描到的漏洞,都存在这里,我写文章之前删除了,哈哈哈,以防去喝茶,这只是一篇科普文章。

two:

数据库有了,我们去哪里找资产呢

上爱企查,直接搜,想挖什么搜什么。

使用Yakit快速刷取cnvd

使用Yakit快速刷取cnvd

点这里的更多网址,其他公司也有更多网址哦,然后收集下来,里面有ip和域名,我建议域名和ip分开收集。将收集到的域名放到这里,直接执行

使用Yakit快速刷取cnvd

不过我觉得这个缺点东西,少了字典爆破,我跟V神说了,然后V神鸽我到现在。

收集到的ip放到这里

使用Yakit快速刷取cnvd

其他的参数,你们随便加,这些东西,收集完之后,自动入库。

收集到的这些资产肯定不全,推荐你们再去鹰图,还有fofa上去再收集一波,放进资产列表里

three

资产都收集好了,剩下的就是检测漏洞了,不过你扫描端口的时候,自己带了扫描指纹还有旁边顺带的漏洞,所以会扫描结束,就发现漏洞,例如:

使用Yakit快速刷取cnvd

这不就一张证书到手了吗!

然后还有一个weblogic的,我测试那个站点的时候,发现有命令执行,还有未授权加命令执行,交上去发现是重复的,不过随缘了。

特点是可以加载nuclei的漏洞库

使用Yakit快速刷取cnvd

特点,可以批量执行,哇噢噢噢噢噢!!!

使用Yakit快速刷取cnvd

界面的看着就是舒服。

02

通用漏洞刷取

主要在爱企查里面找5000w以上的资产进行测试。大致也就是那些操作,拿到资产,看他们的产品,软件著作权信息。然后在鹰图或者fofa上面进行搜索,拿到资产,用Yakit的插件跑。

这里的前提是我拿到源码了,通过代码审计,出了一个get_file_contents()函数的利用点,可ssrf和任意文件读取。
(这里感谢瓜皮哥给的源码还有思路,还有在很忙的时候也抽空出来回答我问题,不得不爱,我给蓉神打call)

使用Yakit快速刷取cnvd

我这讲的是用Yak编写代码,来批量验证漏洞,因为交漏洞的时候,要三个案例,而有些环境有waf,自己测太慢了,用脚本来给代替掉。
Yakit抓包,喜欢Yakit的界面,哈哈哈

使用Yakit快速刷取cnvd

使用Yakit快速刷取cnvd

然后把数据包直接copy,放进脚本里面

使用Yakit快速刷取cnvd

很简单的代码,问我为什么不写复杂的,因为我也刚入手几天,我这种代码fw都能写,各位大佬来了岂不是乱杀,疯狂产出插件。

使用Yakit快速刷取cnvd

执行成功,然后拿着poc去写报告文档。

今天的文章结束咯,喜欢的点个关注,欢迎大家快去使用工具,找bug。

使用Yakit快速刷取cnvd使用Yakit快速刷取cnvd

原文始发于微信公众号(虚拟尽头):使用Yakit快速刷取cnvd

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日23:25:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用Yakit快速刷取cnvdhttps://cn-sec.com/archives/1023141.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息