python编写EXP/POC速成小记

最新推荐文章于 2024-05-25 11:49:37 发布
最新推荐文章于 2024-05-25 11:49:37 发布
阅读量1.9k 收藏 24
点赞数 1
文章标签: 安全 web安全 网络安全 安全威胁分析 安全架构 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/U_U520/article/details/129165569
版权

Part1基本概念

0x01:概念

漏洞刚被批漏之后,有时候现有的工具里面是没有相应的EXP的,那我们可以根据原理写出对应的EXP代码,验证漏洞是否存在。

在信息安全里,POC为漏洞验证程序,功能为检测漏洞是否存在。POC和EXP(全称Exploit)的区别就是,POC是漏洞验证程序,EXP是漏洞利用程序。针对通用型漏洞编写EXP,可以使漏洞测试大大加快速度,可以在漏洞发现时批量检测资产漏洞情况。

作用:用于漏洞利用,更加高效的漏洞利用,而不是手工测试,节省时间。

Part2思维导图

0x02:思维导图

EXP与POC编写情况很多,所以了解漏洞原理以后,根据实际情况去编写EXP与POC

0x001:EXP

深入了解漏洞原理 创建发起攻击的Payload 发起攻击请求 判断是否攻击成功

0x002:POC

理解漏洞产生的原理

创建发起验证漏洞是否存在的流程代码

发起漏洞验证请求

输出验证是否存在此漏洞

Part3环境准备

0x03:环境准备

python2.x&python3.x

库:requests,string

Part4代码编写

0x04:代码编写(SQLI靶场篇)

0x001:获取网页内容

#coding=utf-8    声明代码格式为utf-8类型

import requests    导入python库

res=requests.get("http://www.baidu.com/index.html")    定义res为变量=用来接收百度提交一个get类型的请求的返回数据

print(res.content.decode("utf-8"))      将res变量的内容使用utf-8格式解码后打
最低0.47元/天 解锁文章
不动明王_你懂不懂
关注
  • 1
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
poc--exp:常用渗透poc收集
03-20
poc--exp 个人常用渗透poc收集 CVE-2014-4113 Win64bit本地提权漏洞 CVE-2014-4878海康RCE突破 CVE-2017-0143永恒之蓝突破 CVE-2017-0474安卓媒体服务器RCE CVE-2017-0641 Google Android Media框架远程代码执行漏洞 CVE-2017-11882办公室远程执行突破 CVE-2017-13156安卓janus漏洞 CVE-2017-5753英特尔侧信道攻击扩展 CVE-2017-7269 IIS6.0远程代码执行入侵复现 CVE-2018-15982 Flash突破 CVE-2018-19518 PHP imap_open函数任意命令执行漏洞 CVE-2018-20250 WinRAR目录穿越突破 CVE-2018-4407 IOS重叠重叠 CVE-2018-4878 Flash突破 CV
POCEXP、Payload的区别
CC__Faker的博客
06-07 5291
POCEXP、Payload的区别 POC:全称 ' Proof of Concept ',中文 ' 概念验证 ' ,常指一段漏洞证明的代码。 EXP:全称 ' Exploit ',中文 ' 利用 ',指利用系统漏洞进行攻击的动作。 Payload:中文 ' 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。 总结一下自己的理解 POC:强调发现可能存在漏洞后,对漏洞是否存在的验证 EXP:对已存在的漏洞进行利用,强调利用已有资源 Payload:例如使用了一条恶意SQL语句,使
POC批量验证Python脚本编写
最新发布
HUANGXIN9898的博客
05-25 797
代码实现基本功能,已暂时符合自己使用需求,此次实践已完成编写目的,但一些容错机制以及细小功能点还需完善,如输入为空程序运行结果,以及代理模块功能待实现。通过此次编程,在熟悉Python编程的同时也深感代码功底的薄弱。不过最后还是学习到不少知识,比如多线程、读写文件、数据类型操作、命令行参数读取、编程模块化思想等。之后可以多尝试使用python编写小demo工具,避免对编程思维生疏。
渗透测试常用术语总结
xv66666的博客
07-02 2373
想象自己是一个特工,你的目标是监控一个重要的人,有一天你怀疑目标家里的窗子可能没有关,于是你上前推了推,结果推开了,这是一个POC。之后你回去了,开始准备第二天的渗透计划,第二天你通过同样的漏洞渗透进了它家,仔细查看了所有的重要文件,离开时还安装了一个隐蔽的录音笔,这一天你所做的就是一个EXP,你在他家所做的就是不同的Payload,就把录音笔当作Shellcode吧!
学习网安需要了解的一些基础知识
fencecat的博客
02-26 3349
很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
POCEXP脚本
weixin_45007073的博客
01-25 7762
引言 在我们的日常渗透测试中,经常挖掘到一些漏洞,但是我们一般使用挖掘工具或者手工判断的时候,不好确定是不是真的存在这么一个漏洞,因此POC脚本就应运而生了。POC全称是Proof of Concept,中文译作概念验证。它是专门为了验证漏洞是否真的存在的脚本。而EXP全称是Exploit,中文译作漏洞利用程序。它是对POC验证结果的一种漏洞利用脚本。 编程基础 因为市面上有关POCEXP脚本的教程比较稀少,但是比较明确的是想要写好POCEXP,一般都要有一些网络编程的基础,python的要会基本的爬虫
网络安全中的POCEXP、Payload、ShellCode
日拱一卒,功不唐捐
09-18 8665
POC:概念证明,即概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day、exploit的别名。EXP:利用(英语:Exploit,简称EXP)一般指可利用系统漏洞进行攻击的动作程序。Payload:中文 ’ 有效载荷 ',指成功exploit之后,攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。
POC&EXP编写指南.rar
02-11
POC&EXP编写指南》是一份非常实用的资料,主要涵盖了网络安全领域中的Proof of Concept(POC)和Exploit(EXP)的编写方法。在网络安全研究中,POC是证明某一安全漏洞存在的一种技术性验证,而EXP则是利用这个漏洞...
Python从入门到编写POC之读写文件1
08-03
Python编程中,读写文件是一项基础而重要的操作。本文主要介绍了如何使用Python进行文件的读写,并通过实例讲解了相关知识点。 首先,文件的读写通常涉及到`open()`函数,它用于打开一个文件并返回一个文件对象。...
基于python编写Web安全检测PoC&&EXP框架+源码+开发文档+代码解析(毕业设计&课程设计&项目开发)
04-22
基于python编写Web安全检测PoC&&EXP框架+源码+开发文档+代码解析,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于python编写Web安全检测PoC&&EXP框架+...
PocList:python或go编写poc
04-04
标题 "PocList:python或go编写poc" 暗示了这是一个与网络安全相关的项目,其中包含用Python或Go编程语言编写的Proof of Concept(PoC)代码。Proof of Concept,通常简称PoC,是指一段能证明某个概念、漏洞或攻击...
常见Exp漏洞POC集合
01-21
黑客们通过编写POC来验证一个漏洞的存在,这些POC通常是一段小的程序代码,能够触发特定的系统或软件漏洞,从而导致非预期的行为。在本集合中,我们可以看到不同类型的Exploit,如"exp-363.py"和"exp-1666.py",...
计算机漏洞安全相关的概念POCEXP 、VUL 、CVE 、0DAY
m0_51186260的博客
03-30 3511
1.POC POC,Proof ofConcept,中文意思是“观点证明”。这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。2.EXP EXPExploit,中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。3.VUL VUL,Vulnerability的缩写,泛指漏洞。4.CVE漏洞编号 CVE 的英文全称是“Common Vulnerabilit
【关注观星公众号】渗透系列之POC编写之刷分大法
Websec
12-04 5093
一、前言:POC&EXP 什么是POC:即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行,对承载用户数据量和运行时间进行实际测算,并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。在信息安全里,POC为漏洞验证程序,功能为检测漏洞是否存在。pocexp(全称Exploit)的区别就是,poc是漏洞验证程序,exp是漏洞利用程序。针对通用型应用漏洞编写poc,可
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 637
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
PoCExp、Payload的简单概念
z1moq的博客
07-26 2069
PoC:全称 ’ Proof of Concept ',中文 ’ 概念验证 ’ ,常指一段漏洞证明的代码。仅用于漏洞的验证,并无较强的攻击效果,并不容易给服务器造成损害与资产泄露 Exp:全称 ’ Exploit ',中文 ’ 利用 ',指利用系统漏洞进行攻击的动作。具有较强的攻击性,可能会造成服务器端的信息泄露或恶意控制 Payload:中文 ’ 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。Payload有很多种,它可以是Shellcode,也可以直接是一段系统命令。同一个Pa
chatgpt赋能pythonPythonPOC:提高网络安全攻防技能的利器
weixin_45566993的博客
06-02 518
POC是指为了验证某项功能是否存在或漏洞是否可被成功利用的一段代码。在网络安全领域中,POC通常被用于验证漏洞是否存在或者可被攻击者利用。POC可以用于漏洞发现过程中,攻击者通过编写和利用POC来寻找漏洞。同时,POC也可以用于漏洞修复过程中,安全研究人员或漏洞发现者利用POC来验证漏洞是否已经被修复。POC通常表示为一些脚本程序或者独立的应用程序。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc。
PythonPOC编写
qq_59923059的博客
08-15 1806
PythonPOC编写入门
python编写简单poc,验证dvwa靶场
记录日常学习
09-02 408
python编写简单poc练习,熟悉poc基本构造,以dvwa为例。
出现了什么问题?/Users/poc/.virtualenvs/python3.11/bin/python /Users/poc/PycharmProjects/python3.11_study/python_study/s_library/03_11.py Traceback (most recent call last): File "/Users/poc/PycharmProjects/python3.11_study/python_study/s_library/03_11.py", line 18, in <module> system_time_zone_library = zoneinfo.ZoneInfo.from_file('/usr/share/zoneinfo.default/Asia/Shanghai') ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ File "/Library/Frameworks/Python.framework/Versions/3.11/lib/python3.11/zoneinfo/_common.py", line 28, in load_data header = _TZifHeader.from_file(fobj) ^^^^^^^^^^^^^^^^^^^^^^^^^^^ File "/Library/Frameworks/Python.framework/Versions/3.11/lib/python3.11/zoneinfo/_common.py", line 145, in from_file if stream.read(4) != b"TZif": ^^^^^^^^^^^ AttributeError: 'str' object has no attribute 'read'
05-17
这个错误是因为你正在尝试使用字符串路径来打开文件,而不是一个文件对象。你可以使用内置的 `open()` 函数来打开文件并创建一个文件对象,然后将该对象传递给 `zoneinfo.ZoneInfo.from_file()` 方法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不动明王_你懂不懂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值