【实用工具】Pocsuite使用

最新推荐文章于 2024-05-12 09:59:19 发布
最新推荐文章于 2024-05-12 09:59:19 发布
阅读量504 收藏 2
点赞数
分类专栏: 实用工具 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zt_Zk/article/details/126602530
版权
本文介绍了Pocsuite这款远程漏洞验证框架的安装与使用,包括命令行模式、验证与攻击模式、多线程利用、Zoomey搜索引擎的使用。同时,详细讲解了如何编写针对Flask的POC和EXP脚本,实现半交互式命令执行。
摘要由CSDN通过智能技术生成

作者:guko

pocsuite是一款基于漏洞与POC的远程漏洞验证框架,记录基本使用和POC跟EXP编写的学习记录

0x01 安装

直接下载解压安装

wget https://github.com/knownsec/pocsuite3/archive/master.zip
unzip master.zip

0x02 使用方法

Pocsuite具有两种交互模式,一种是命令行模式,另一种是控制台交互模式。–verify参数来调用verify方法,用于验证目标是否存在漏洞,–attack参数调用attack方法,用来向目标发起攻击。

1、verify验证模式,验证目标是否存在漏洞。-r为脚本路径,-u为目标地址

python3 pocsuite.py -r pocs/test1.py(脚本路径) -u url --verify

2、批量验证,将需要验证的所有目标IP写到一个txt文件中批量利用

python3 pocsuite.py -r pocs/test1.py(脚本路径) -u url.txt --verify

3、加载文件夹下所有poc对目标进行测试,-r为文件夹路径

python3 pocsuite.py -r pocs/* -u url --verify

4、使用多线程。–threads表示线程数

python3 pocsuite.py -r pocs/test1.py(脚本路径) -u url --verify

5、使用Zoomey搜索引擎,搜索开放端口6379的Redis服务

python3 cli.py --dork 'port:6379' --vul-keyword 'redis' --max-page 2

6、Attack模式,向目标发起有效供给

python3 pocsuite.py -r pocs/test1.py(脚本路径) -u url --attack

7、使用shell交互式模式,对目标进行远程控制

python3 pocsuite.py -r pocs/test1.py(脚本路径) -u url --shell

8、使用自定义命令‘command’,调用外部传递参数,进行半交互式命令执行

python3 pocsuite.py -r pocs/test1.py(脚本路径) -u url --attack --command "whoami"

0x03 POC脚本编写

搭建Flask服务器模板环境

这里直接用VULHUB中的环境快速搭建

https://github.com/vulhub/vulhub/tree/master/flask/ssti
docker-compose build
docker-compose up -d

实际编写,将模版的_verify方法替换成Flask漏洞检测脚本既完成POC的编写

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74

#!/usr/bin/python3
#新建一个符合POC命令规范的py文件
#编写POC实现类DemoPOC,继承自POCBase类
from collections import OrderedDict
from urllib.parse import urljoin
import re
from pocsuite3.api import POCBase, Output, register_poc, logger, requests, OptDict, VUL_TYPE
from pocsuite
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
网络安全工具pocsuite使用教程
SHELLCODE_8BIT的博客
10-18 1244
使用pocsuite -h 获得支持的命令如下所示。会显示如下内容,可以看到自定义poc目录为。
网络安全工具箱合集
04-28 3678
收集了Github上数10种类别的开源扫描器,包括子域名,数据库,中间件和其他模块化设计的扫描器等,但对于一些被大众所熟知的知名扫描工具,如nmap、w3af、brakeman、arachni、nikto、metasploit、aircrack-ng将不包括在本项目的收集范围内。 子域名爆破枚举或接管 https://github.com/lijiejie/subDomainsBrute-...
pocsuite使用教程
qq_41048303的博客
04-16 1566
Pocsuite使用教程 1.常用命令 # Verify验证模式 python cli.py -r pocs/test1.py(poc脚本路径) -u http://127.0.0.1 --verify # 批量验证 python cli.py -r pocs/test1.py -f url.txt --verify # 加载文件夹下所有的poc对目标进行测试 python cli.py -r pocs/* -u http://127.0.0.1 --verify # 使用多线程 python cl
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 826
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
关于pocsuite使用
weixin_30509393的博客
12-20 587
0x00 前言 pocsuite的用处就不多说了,早些时候也看到黑哥和余弦大佬在微博上说zoomeye 和pocsuite升级了。 结合最近自己在审计cms,也想收集一下其他cms的poc,比如chybeta大佬的cmsPoc,还有Lucifer1993大佬的AngelSword,用pcosuite重新写一下poc,同时自己审出来的一些"0day"也是可以用这个框架。 0x0...
PocSuite 工具使用介绍和sqlmap工具使用介绍
qq_42430287的博客
07-01 526
PocSuite 工具使用介绍和sqlmap工具使用介绍
Python安全攻防:渗透测试实战指南》配套技术讲解
Ms08067安全实验室
11-10 3366
如果你立志成为一名合格的安全从业者,想突破“脚本小子”的瓶颈,成为真正的黑客,想拥有自己打造出来的属于自己的神兵利器!《Python安全攻防:渗透测试实战指南》已经出版,配套星球现在可以...
网络安全渗透测试——名词解释
weixin_43778463的博客
10-12 3539
常用术语解释
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1571
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
POC bomber 是一款漏洞检测/利用工具,旨在利用大量高危害漏洞的POC/EXP快速获取目标服务器权限
m0_66712307的博客
11-07 1753
POC bomber 是一款漏洞检测/利用工具,旨在利用大量高危害漏洞的POC/EXP快速获取目标服务器权限
pocsuite3:pocsuite3是由Knownsec 404团队开发的开源远程漏洞测试框架
02-05
pocsuite3 法律免责声明 未经事先双方同意,使用Pocsuite攻击目标是非法的。 pocsuite仅用于安全测试 法律免责声明 事先事先双方同意,使用pocsuite攻击目标是非法的。 pocsuite仅用于安全测试目的 总览 pocsuite3是由开发的开源远程漏洞测试和概念验证开发框架。 它带有强大的概念验证引擎,以及针对最终渗透测试人员和安全研究人员的许多强大功能。 产品特点 PoC脚本可以以不同的方式在attack , verify , shell模式下运行 插件生态系统 从任何位置(本地文件,redis,数据库,Seebug ...)动态加载PoC脚本 从任何位置(CIDR
POC-bomber(漏洞检测/利用工具)
weixin_71169068的博客
06-29 2289
本项目收集互联网各种危害性大的 RCE · 任意文件上传 · 反序列化 · sql注入 等高危害且能够获取到服务器核心权限的漏洞POC/EXP,并集成在 POC bomber 武器库中,利用大量高危害POC对单个或多个目标进行模糊测试,以此在大量资产中快速获取发现脆弱性目标,获取目标服务器权限。适用场景包括但不仅限于以下: hvv快速打点 漏洞资产测绘 维护个人漏洞扫描器
推荐几个常用的POC检测工具
qq_32947907的博客
01-19 1292
可以说用的最多的POC扫描工具,POC来自国内外安全研究人员。目前最新版的模版v9.5.7,有6000多个POC。同时,可以在burp上下载插件fiora,查看以及管理POC。Goby 是国内企业白帽汇开发维护的系统,拥有良好的界面,分为商业版和社区版。社区版可以免费使用,POC数量较少。afrog 是国内安全研究员 zan8in 开发维护的开源项目,目前拥有的 POC 超过 1100。Yaklang.io 团队开发,一款图形化界面的POC利用框架。推荐几个常用的POC检测工具。burp插件Frora。
编写poc和exploit的几款常用工具介绍
syh_486_007的专栏
05-07 2031
1.pwntools pwntools是一个CTF框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。 pwntools对Ubuntu 12.04和14.04的支持最好,但是绝大多数的功能也支持Debian, Arch, FreeBSD, OSX, 等等。 sudo pip install pwntools即可安装
探索网络安全的新里程:Pocsuite 框架
最新发布
gitblog_00069的博客
05-12 398
探索网络安全的新里程:Pocsuite 框架 去发现同类优质开源项目:https://gitcode.com/ Pocsuite 是一个由知名安全团队 Knownsec 404 团队倾力打造的开放源代码漏洞测试和 PoC(Proof-of-Concept)开发框架。它的存在是为了让渗透测试者和安全研究人员的工作更加高效,功能强大且独具特色。 项目介绍 作为一款综合性的工具,Pocsuite 不仅仅...
Pocsuite简单学习
可爱的我可爱的code
01-11 2676
简介 读读英文… pocsuite3 is an open-sourced remote vulnerability testing and proof-of-concept development framework developed by the Knownsec 404 Team. It comes with a powerful proof-of-concept engine, many powerful features for the ultimate penetration tester
pocsuite傻瓜式写Poc
qq_51796436的博客
03-02 4208
文章目录pocsuite安装及使用自带sql脚本分析利用pocsuite编写xss poc实例 pocsuite安装及使用 pocsuite:一款基于漏洞与poc的远程漏洞验证框架 安装:pip3 install -U pocsuite3 --no-cache-dir pocsuite - h检验安装结果 环境:python3.4以上 安装好之后会多出一个命令 pocsuitepython目录下的_pocsuite_1_1.py就是poc编写的模板,之后要写poc直接复制这个脚本,在里面把参数改一下
Python攻防-PocSuite渗透测试框架
道阻且长,行则将至。
12-08 3277
文章目录前言Pocsuite下载安装使用方法POC实例 前言 Pocsuite 是由知道创宇404实验室打造的一款开源的远程漏洞测试框架。 你可以直接使用 Pocsuite 进行漏洞的验证与利用; 你也可以基于 Pocsuite 进行 Poc/Exp 的开发,因为它也是一个 Poc 开发框架; 同时,你还可以在你的漏洞测试工具里直接集成 PocSuite,它也提供标准的调用类。 Pocsuite3 是完全由 Python3 编写,支持 Windows/Linux/Mac OSX 等系统,在原 Pocsu
探索未知,揭秘安全:Pocsuite3 - 一个强大的渗透测试框架
gitblog_00042的博客
04-25 440
探索未知,揭秘安全:Pocsuite3 - 一个强大的渗透测试框架 pocsuite3 pocsuite3 is an open-sourced remote vulnerability testing framework developed by the Knownsec 404 Team. ...
使用Pocsuite3编写漏洞exp的步骤是什么
04-01
使用Pocsuite3编写漏洞exp的步骤如下: 1. 确定漏洞类型和漏洞目标:首先要确定漏洞类型和目标,包括操作系统、软件版本等信息。 2. 查找漏洞信息:通过搜索和查找各种漏洞信息来源,例如CVE、CNVD、漏洞公告、论坛等,获取漏洞的详细信息。 3. 分析漏洞原理:对漏洞进行深入分析,了解漏洞的原理和具体实现方式。 4. 编写漏洞利用代码:根据漏洞的原理和具体实现方式,编写漏洞利用代码。 5. 测试漏洞利用代码:使用Pocsuite3对漏洞利用代码进行测试,确保漏洞利用代码的正确性和可靠性。 6. 发布漏洞利用代码:将漏洞利用代码发布到公共漏洞库或自己的博客等平台上,供其他安全研究人员使用和学习。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值