【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

admin
admin
admin
138836
文章
114
评论
2024年6月21日12:17:10评论35 views字数 900阅读3分0秒阅读模式

免责声明:该公众号分享的安全工具均来源于网络,仅供用户学习和研究使用,如用于其他用途,工具的使用者应自行承担相关法律风险及责任,本公众号与工具的开发者、提供者和维护者不对使用者使用工具的行为和后果负责,工具来自网络,安全性自测,侵权请联系删除。

工具简介

漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮助安全人员更方便更高效的编写漏洞规则,以方便漏洞利用和漏洞验证。

使用说明

功能展示

漏洞管理

可以对漏洞进行增删改查操作,默认是本地模式,漏洞保存后会以文件形式保存到当前路径下,右上角可以调整模式为协作模式,密码:暂不提供。协作模式下漏洞库查看和编辑权限需要key文件,暂不提供。

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

漏洞扫描

支持对一条或多条URL漏洞扫描,同时可以自定义一些信息,例如:自定义头、添加脏数据、启用代理、线程数、超时时间等。

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

漏洞资产

扫描过程中检测出漏洞的资产详情会出现在漏洞资产列表。包括直接展示完整数据包,可以根据数据包判断漏洞检测结果是否准确。(如果数据包点开关不掉可以点击旁边的格子或者点上面的检测结果)

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

发包测试

直接粘贴完整数据包,类似burpsuite的Repeater功能

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

编写POC

场景一:发送一个请求包,匹配返回的关键字,匹配特殊字符需要进行转义。例如下面这个任意文件下载漏洞。

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

场景二:发送多个请求包,后面的请求需要使用到前一个响应包中的信息,例如下面这个蓝凌getLoginSessionId任意用户登录漏洞。
1、获取sessionId

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

2、将sessionid添加到第二次的请求。然后获取返回cookie

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

3、将cookie替换访问

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

场景三:需要使用dnslog验证漏洞存在。例如下面这个XXE漏洞

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

场景四:发送的请求包中存在字节流的数据。例如下面这个帆软反序列化漏洞。

【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

文章来源

文章内容来自以下用户

https://github.com/mifine666

下载地址

GitHub项目地址:https://github.com/mifine666/miscan

关注下方公众号

不定期分享新奇的安全工具

原文始发于微信公众号(蛙王工具库):【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月21日12:17:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【miscan】一款简单好用的漏洞管理工具,支持本地和协作两种模式https://cn-sec.com/archives/2870075.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息