补天自动化脚本

公益漏洞刷取流程

1.资产收集，首推使用hunter

hunter必要语法讲解：

app.name -- 快速检索组件资产

icp.type="企业" -- 检索有备案的域名

ip.province="江苏" -- 资产过多控制资产量

&start_time=2025-03-14&end_time=2025-03-16

-- 资产过多时，使用该语句控制资产量

注：积分不够了怎么办，1.充，2.想办法自己结合脚本利用（这方面不公布）

2.hunter app.name语法

hunter有一个小技巧，可以根据我们输入内容，检索对应的一个组件，我们可看那个数据多，就挖那种。

3.去重备案

一个公司，留一个组件域名就可以了，可以使用xlsx的去除重复项，选择扩展，选定备案公司那一行就可以了

4.漏洞验活

首推python写一个多线程+request就可以快速验活了，不会的话，可以使用nuclei写一个yaml也是可以的

脚本流程讲解（简单过一下）

限制点：

1.脚本不是上手直接就可以用的，需要根据的内容修改的

2.需要绕过极验滑块的api和hunter api，不是无成本的

3.漏洞url放到url.txt就行了

1.备案自动化截图

首先提取传入url的根域

然后通过playwright库，进行后台截图

2.漏洞主页截图

一样的流程

3.绕过极验三代滑块

因为我js逆向，不算好，而且时间比较赶，所以我直接使用的api绕过了，获取到验证码的challenge和validate就可以进行提交了

4.设置提交内容

这里就是就是设置我们提交的内容的，需要自行进行修改的

5.配置api

原文始发于微信公众号（深潜sec安全团队）：补天自动化脚本