基础学渗透,领取配套视频
#统统可白嫖#
扫码找小助理白嫖渗透资料
学习大佬的思路技巧
作者:掌控安全——劲夫
前言
会有这个版本的原因全靠老猫,他把自己的提交脚本给我借鉴之后我改出了3.0版本(老猫yyds),
2.0版本:漏洞盒子自动提交脚本2.0
3.0版本 VS 2.0版本:
-
代码全部重构,2.0有200多行代码,而3.0只有100多行
-
3.0提交漏洞的速度比2.0快了最少4倍
-
使用更方便(如果要提交WEB漏洞下其他类型漏洞无需修改脚本即可提交)
0x01 脚本简介
先看看压缩包内的文件都有啥用
其实还有一个文件它叫submitted.txt是用来记录提交失败的网站的,并且会记录提交失败的原因
使用它我们只需要了解两个文件即可,bugs.xlsx & config.yaml
1.bugs.xlsx,要提交的漏洞信息就填这里面
表中的列都是中文,对应着提交页面的输入框,提交之前看看要提交的漏洞类型需要哪些信息,要的就填到表中,不要的那列就空着
如果内容要换行的话用n,要上传图片的话需要让图片路径独占一行,也就是图片路径前后都要有n,例如:这里有SQL注入n图片地址n就是这样了
2.config.yaml,配置文件
Key_auth和VulBox_uid这两个cookie值需要先登录盒子后获取,然后把对应的值填入配置文件(别说不知道怎么找cookie)
细心的小伙伴可能发现了配置文件和bugs.xlsx中都有漏洞简述和修复方案这个东西,如果bugs.xlsx中有的话就以它的为准,否则会用配置文件中的
漏洞类型是一串数字,我下面来教大家怎么找,先以SQL注入的为例,在选漏洞类型的时候按F12,这里可以看到web漏洞的标签中有个值是1,记住它
然后点击web漏洞选sql注入,会发现标签中有个7和29,记住这两个值
把刚才的1和7,29组合起来1,7,29就是SQL注入的bugType值了
下面再看个特殊的,这里的信息泄露只有一个15,另外一个undefined不用管
组合起来就是1,15就是信息泄露的bugType值了
0x02 使用演示
1.先安装脚本所需的python环境,脚本是python3写的,然后安装所需要的库pip install -r librays.txt
2.好了之后就去bugs.xlsx中把要提交的漏洞内容填好
3.登录盒子,获取cookie填好,并且把答题搞了,不然脚本会报错的
4.运行脚本,python main.py
成功提交
附件后台回复:“0255”获取
声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果.
欢迎关注视频号:“掌控安全课堂”
2021-10-22
2021-08-11
2021-07-26
2021-07-01
2021-06-08
2020-12-22
2021-04-17
看到这里了,点个“赞”、“再看”吧
原文始发于微信公众号(Th0r安全):优化后的漏洞盒子自动提交脚本3.0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论