关于nuclei-ai-extension

最新推荐文章于 2024-05-15 16:43:01 发布
最新推荐文章于 2024-05-15 16:43:01 发布
阅读量1.5k 收藏 18
点赞数 23
文章标签: 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81475812/article/details/136123997
版权

nuclei-ai-extension

🍁 Nuclei 官方开发的 利用 AI 生成 nuclei 模板的工具。Nuclei AI - 用于快速生成 Nuclei 模板的浏览器扩展,Nuclei AI Browser Extension建立在 cloud.projectdiscovery.io 之上,使用户能够从任何网页中提取漏洞信息,快速有效地创建Nuclei模板,从而简化漏洞模板的创建,从而节省宝贵的时间和精力。

项目地址:https://github.com/projectdiscovery/nuclei-ai-extension

功能简介

  • 用于生成模板的上下文菜单选项

  • HackerOne 报告到 nuclei 模板生成

  • ExploitDB 对 Nuclei 模板生成的漏洞利用

  • BugCrowd / Intigriti / Synack 支持(即将推出)

安装

该程序以 chromium 系列浏览器插件形式安装

  • https://github.com/projectdiscovery/nuclei-ai-extension/releases 下载压缩包

  • 解压后存在一个目录,为需要导入到浏览器的扩展

  • 打开浏览器扩展页面

  • 启用页面内的开发者模式

  • 导入解压的文件夹

  • 安装完成

使用

使用此扩展程序需要 cloud.projectdiscovery.io 上的登录帐户。您可以在使用 Nuclei AI 的功能之前注册或登录。

  • 要使用上下文菜单从任何网站上的选定文本生成细胞核模板:

  • 从任何网站、博客或推文中选择漏洞信息。

  • 右键单击以打开上下文菜单,然后选择“Generate Nuclei Template”选项。

  • 如果需要,请进行任何更改以改进或更新提示。

  • 单击“生成”按钮。

  • AI 将根据所选文本生成一个 Nuclei 模板。

快捷键:在任何网页上按 CLT+SHIFT+O 可切换(打开/隐藏)AI 编辑器窗口。

测试

测试使用 DVWA 靶场进行测试 ,使用 Docker 部署。

  • 测试一:DVWA 登陆界面测试生成 pass fuzz 模板

 

 

生成模板如下:

id: login-pass-fuzz-brute
info:
  name: Login Password Fuzz Brute
  author: pdteam
  severity: info
  reference: http://127.0.0.1:4280/login.php

http:
  - method: POST
    path:
      - "{{BaseURL}}/login.php"
    payloads:
      username:
        - admin
      password:
        - fuzz.txt
    attack: clusterbomb 
    body: "username=§username§&password=§password§"
    matchers:
      - type: word
        words:
          - "Welcome Admin"

  • 测试二:DVWA 第一关 Vulnerability: Brute Force  ,模板如下

图片

  

id: http-get-fuzzing-example
info:
  name: HTTP GET Fuzzing Example
  author: pdteam
  severity: info
  reference: http://127.0.0.1:4280/vulnerabilities/brute/?username=admin&password=pass&Login=Login#

http:
  - method: GET
    path:
      - "{{BaseURL}}?username=admin&password={{fuzz}}&Login=Login#"
    payloads:
      fuzz:
        - admin
        - pass
        - password
    matchers:
      - type: word
        words:
          - "Welcome Admin"

  • 测试三:DVWA 第二关 Vulnerability: Command Injection  模板如下

图片

  

id: command-injection-ls
info:
  name: Command Injection ;ls
  author: pdteam
  severity: high
  reference: http://127.0.0.1:4280/vulnerabilities/exec/#

http:
  - method: GET
    path:
      - "{{BaseURL}}/?ip=;ls"
    matchers:
      - type: word
        words:
          - "bin"
          - "boot"
          - "dev"
          - "etc"
          - "home"
          - "lib"
          - "opt"
          - "root"
          - "sbin"
          - "srv"
          - "tmp"
          - "usr"
          - "var"
        part: body

总结

在渗透测试,漏洞挖掘等等过程中,编写 poc 是必不可少的一个过程,该工具使用 nuclei 作为漏洞扫描工具,自动化编写结合 AI 编写模板,大大节约了测试流程时间,提高工作效率,值得一试。可根据提示词自定义模板具体生成内容,部分模板可能生成的有些许问题,但是简单修改完全可以投入使用

Pass!on
关注
  • 23
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nuclei-docs:核文件
04-03
Nuclei文档网站的Github项目 nuclei-docs的本地版本 安装mkdocs python3 -m pip install mkdocs python3 -m pip install pymdown-extensions>=7.0 --user python3 -m pip install mkdocs-material-extensions>=1.0 --user 运行nuclei-docs的自托管版本 mkdocs serve 自托管应用程序将在 在github页面上发布更改 mkdocs gh-deploy 注意:-mkdocs使用python3.x
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
Innocence_0的博客
07-22 376
Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。KafkaConnect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行。
CVE-2021-22205复现
问题很多的小明
10-28 2371
影响版本: RCE exploit for gitlab version < 13.10.3 git工具: GitHub - mr-r3bot/Gitlab-CVE-2021-22205 https://github.com/projectdiscovery/nuclei https://github.com/projectdiscovery/nuclei-templates python3 exploit.py -u joe123 -p 12345qwert -t http://...
web安全学习
m0_73767545的博客
09-12 392
子域名两套CMS(同一服务器/不同服务器【同网关/不同网关】)也就是说对于同一网站页面,有不同域名,域名差异可能是前面,也可能是后面。利用网站抓包,server,如果信息比较全,可能是搭建软件。Day08--信息收集(架构,搭建,WAF)Day09--信息收集()
【收集整理】Linux下的目录讲解
acjack7070467的博客
04-11 56
Linux下的目录介绍:在Linux系统中,一切东西都是存放在一个唯一的“虚拟文件系统”中的,这个“虚拟文件系统”是树状的结构以一个根目录开始。以文件来表示所有逻辑实体和非逻辑实体,逻辑实体指文件和目录,非逻辑实体泛指硬盘,终端,打印机等等Linux系统是通过“虚拟文件系统-硬盘-硬盘上的分区-分区上的特定文件系统-特定文件系统中的文件”这样的顺序来访问一个文件的。在Linux系统中,主...
Web&操作系统漏洞发现——工具使用总结
m0_61506558的博客
01-05 1390
afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具,PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络安全从业者快速验证并及时修复漏洞。是一个 Go (Golang) 编写的全新的开源漏洞测试框架,实现对poc的在线编辑、管理、测试。如果你想自己扶梯子,又想实现poc的逻辑,又想在线对靶机快速测试,那就使用pocassist吧。常规漏洞——开源CMS团队可以做这个事情,AWVS不容易找到漏洞(其他非。
扫描工具 -- Nuclei
weixin_41489908的博客
02-03 1万+
只要有足够的勇气,和过去的自己告别,生活就会奖励一个新的开始。。。 ----网易云热评 一、软件介绍 Nuclei基于模块来跨目标发送请求,可以对已知路径有效的扫描,主要用在网络侦查的初始阶段,比较好用的一个地方是,在被WAF后还可以自动重传 二、下载地址: https://github.com/projectdiscovery/nuclei 三、使用方法: 1、查看版本信息:nuvlei -version 2、更新下载模板: https://github.com/pro...
POC模拟攻击利器 —— Nuclei入门(一)
热门推荐
liwenxiang629的博客
07-26 1万+
Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。Nuclei使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用Nuclei模拟各种安全检查。.........
nuclei:Nuclei是基于模板的可配置目标漏洞扫描的快速工具,具有大量可扩展性和易用性
03-19
基于简单的基于YAML的DSL的快速且可自定义的漏洞扫描程序。 ••••••• Nuclei用于基于模板发送跨目标的请求,从而导致零误报并提供对大量主机的快速扫描。 Nuclei提供扫描各种协议的功能,包括TCP,DNS,HTTP,文件等。借助强大灵活的模板,可以使用Nuclei对各种安全检查进行建模。 我们有一个,其中包含由100多名安全研究人员和工程师提供的各种类型的漏洞模板。它使用-update-templates标志预加载了可以使用的模板。 怎么运行的 安装Nuclei :play_button: GO111MODULE=on go get -v github.com/projectdiscovery/nuclei/v2/cmd/nuclei 更多的安装。 下载范本 您可以使用以下命令下载和更新原子核模板更新模板核的标志,可从下载所有可用的核模板, 是社区策划的准备使用的模板列表。 :play_button: nucle
Nuclei:一款快速自定义模板扫描工具
丶没胡子的猫
07-10 5890
Nuclei是一款运行速度非常快且易于使用的扫描工具,它可以帮助研究人员基于模板执行可配置的目标扫描任务,并提供了大量可扩展接口以辅助使用。 Nuclei可以基于模板来跨目标发送请求,能够实现零误报,并且可以帮助研究人员对已知路径执行有效的扫描。Nuclei的主要使用场景为网络侦察的初始阶段,可以帮助研究人员快速检查已知且易于探测的目标中是否存在安全漏洞。该工具使用了retryablehttp-go库来处理各种错误,并在Web应用防火墙屏蔽的情况下进行自动重传,这也是该工具的核心模块之一。我们还专门开源了.
nuclei-dashboard
03-09
核仪表板网址细节信息 细节 严重程度匹配器姓名信息NginxGeneric WAF检测信息Nginx的Wappalyzer技术检测 严重程度匹配器姓名信息NginxGeneric WAF检测信息Nginx的Wappalyzer技术检测 严重程度匹配器姓名信息google-...
nuclei-templates:社区策划的用于核引擎的模板列表,以在应用程序中查找安全漏洞
03-10
核模板社区策划了用于原子引擎的模板列表,以在应用程序中发现安全漏洞。 •••• 模板是的核心,它们为实际的扫描引擎提供动力。 该存储库存储和容纳由我们团队... :flexed_biceps: 会费Nuclei模板由社区的重大贡献提
Overlapping-Cell-Nuclei-Segmentation-using-DBN-matlab源码
03-02
资源名:Overlapping-Cell-Nuclei-Segmentation-using-DBN-matlab源码 资源类型:matlab项目全套源码 源码说明: 全部项目源码都是经过测试校正后百分百成功运行的,如果您下载后不能运行可联系我进行指导或者更换。...
btekgit-soma-nuclei-matlab.zip
08-08
btekgit-soma-nuclei-matlab.zip
网络安全蓝队常用工具详解
wangluoanquan111的博客
08-02 1559
这个github存储库包含了和,可以用于。有些工具可能是专门为蓝色团队设计的,而其他工具则更通用,可以在蓝色团队上下文中进行调整使用。*本资料库中的资料仅供参考及教育用途。它们不打算用于任何非法活动。
SARS-CoV-2 receptor ACE2 and TMPRSS2
2302_78976920的博客
09-10 82
用single nuclei and single cell RNA sequencing方法在肺和支气管中测序ACE2和TMPRSS2介绍了SARS-Cov2是包膜病毒粒子,SARS-CoV-2也会在体外与ACE2结合。
渗透学习笔记
ywd171的博客
10-28 6113
信息收集、渗透攻击、权限提升、内网渗透
推荐系统学习笔记(一)
weixin_44880995的博客
05-15 143
同类策略(精排中的两种模型)天然互斥,并且(两条召回通道)效果会相互影响,避免干扰。反转:有的指标立刻影响,有的需要长期观测-------尽快推全也可以长期观测。10%作为holdout桶,实验使用剩余的90%,做diff(需要归一化)不同策略(添加召回通道,优化粗排模型)通常不会干扰,可以作为正交的两层。保留10%,完全不受实验影响,可以考察整个部门对业务指标的贡献。同层互斥----避免一个用户被两个实验影响。不同层正交----每层独立随机分配用户。推全:新层,与其他层正交,90%用户。
SpringMVC基础
最新发布
Java小白的博客 致力分享每一天学到的知识
05-15 1305
介绍了有关SpringMVC的基础内容
which riscv-nuclei-elf-gcc openocd make rm这个shell命令是什么意思
06-08
这条命令是用于查询系统中是否已经安装了名为 riscv-nuclei-elf-gcc、openocd、make 和 rm 的软件。它们分别是 riscv 架构下的嵌入式处理器编译工具链、开发调试工具、编译工具和文件删除工具。当您在命令行中输入 `which` 命令以及这些软件的名称时,系统会查找这些软件的可执行文件路径,并输出这些路径。如果输出为空,则说明您的系统中没有安装这些软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值