Serein,一个可以对无数个网站进行漏洞检测的软件
项目的地址
http://github.com/W01fh4cker/Serein
👆项目的具体的内容请访问以上网址👆
该项目仅供授权下使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络安全法》!!!
项目的截图
项目的起源
四月份的一天,我在挖src,但是当时挖了半天的逻辑、越权漏洞,收获不是很大;正巧当时申通快递开了个src,群里的一个师傅靠着nday的检测挖了几个高危,拿了3000元的赏金,于是乎我就想着能不能对很多很多网站批量进行某些nday的检测呢?有了这个想法,但是无奈于当时没什么时间,就暂时把它搁置在了一旁。
五月份终于有时间了,于是开始正式写这个代码,其实一开始是想写一个自己的工具箱的,集合一些常用的功能,后来发现并不是很好用,还是专一写一个有针对性的工具比较好。于是,便有了Serein。我对Serein的定位非常的明确:
- 一款懒人神器,点击一下按钮就可以直接测试漏洞;
- 一款图形化、批量采集
url、批量对采集的url进行各种nday检测的工具; - 可用于
src挖掘、cnvd挖掘、0day利用、打造自己的武器库等场景。
项目的进展
- 2022年5月31日,项目正式开工,写出了最开始的三个模块;
- 2022年6月3日凌晨,实现
IP反查域名、权重查询,但是实测发现权重查询的时候有点卡顿,不满意; - 2022年6月4日,那天爆出了一个
Actively Exploited Atlassian Confluence的0Day,也就是CVE-2022-26134,我紧急写出了批量利用的脚本,并加了上去; - 2022年6月6日凌晨,因为不少人反应自己没有
fofa的会员,于是我增加了奇安信Hunter网络空间测绘模块; - 2022年6月6日的白天到2022年6月7日的凌晨,增加了四个模块;
- 2022年6月11日,把
shiro550的一键梭哈模块给删除了,因为感觉写的感觉效果不是很好;shiro这块还是看飞鸿大佬的利用工具,尽管不能批量,不过也许未来有一天我会自己完完整整地写出这部分代码(但是讲真,利用链好多);增加了一个利用模块;录制了使用视频,发布在了B站:https://www.bilibili.com/video/bv1Dv4y137Lu; - 2022年6月20日,把
nday利用集合中的日志记录模块给删除了,原因是那个框框啥东西也不记录,占空间,不如删了,为我们的利用模块腾出空间来;又新增了三个利用模块; - 2022年6月21日,应某国外网友的请求,增加了
shodan这个网络测绘模块,但是目前发现就算填写的是shodan会员的key,照样只能和注册的一样采集前100条,准备七月份有空了研究下哪里出问题了;增加了一个利用模块; - 2022年6月23日,增加了两个漏洞利用模块;
- 2022年6月28日,增加了四个漏洞利用模块;
- 2022年6月30日,增加了三个漏洞利用模块;优化了三个模块的判断方式;
- 2022年7月4日,实现
Serein的Linux化,并对软件进行了翻译; - ……
一起交流想法
如果你有好的想法,可以加我的微信W01fh4cker和我交流.
年轻的大脑,思维活跃地碰撞,实在是太有趣了。
提出意见建议
请直接在http://github.com/W01fh4cker/Serein/issues或者http://github.com/W01fh4cker/Serein_Linux/issues提出建议,我的邮箱会实时告诉我你的反馈,所以我基本上都是秒回的。
扫一扫
406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
