基于PythonPoc框架

最新推荐文章于 2023-09-02 16:57:58 发布
最新推荐文章于 2023-09-02 16:57:58 发布
阅读量895 收藏 5
点赞数
分类专栏: 渗透 文章标签: python 安全 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30036471/article/details/104328587
版权

0. 前言

因疫情在忙其他事情也很久没上,无意看到一个较为完善的poc框架及原理这里分享大家共同学习讨论。

1. 框架代码如下

#!/usr/bin/env python
#coding:utf-8
import requests

class misiinfo(object):
    def __init__(self,request=None,response=None):
        self.info={}
        self.info["author"]="Mr_Python"        #作者
        self.info["name"]=""     #漏洞名称
        self.info["time"]="2019-1-18"          #POC编写时间
        self.info["ontent"]=""   #存在漏洞地址

def jiance(payload):
    headers={'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36',}
    response = requests.session()       #相当于保存cookie,方便下一个访问
    response_ = response.get(payload,timeout=3,verify=False,headers=headers)
    return response_

"""漏洞验证函数"""
def audit(arg):
    payload=arg+'path'
    try:
        response=jiance(payload)
        print(response.content)
        if response.status_code==200 and "filename:" in  response.content:
            if warning_info:
                print(warning_info)
    except Exception as error:
        print (error)

if __name__ == "__main__":
    audit("http://xxx.cn")

2. 思路

Requests库简介:
Requests支持HTTP连接保持和连接池,支持使用cookie保持会话,支持文件上传,支持自动确定响应内容的编码,支持国际化的 URL 和 POST 数据自动编码。
大概思路:
首先导入我们需要的库request,然后模拟出浏览器的请求方式,定义payload以及方法,做一个异常处理然后返回结果。

3. 代码基础框架

1.导入 requests库

 import requests
  1. 定义类
class nameinfo(object):
  self.info["Author"]={"Mr_Python"}
  self.info["Time"]={"2020.01.24"}
  self.info["Name"]={"注入批量检测"}
  self.info["Number"]={"CNVD"}
  self.info["Rce"]={"小型cms注入批量检测工具"}

def __init__(self,request=None, response=None):  #这个则为类的初始化,它在类的实例话操作后,会自动调用
  1. def 定义一个方法
    使用 def 开始函数定义,紧接着是函数名,括号内部为函数的参数,内部为函数的 具体功能实现代码,如果想要函数有返回值, 在 expressions 中的逻辑代码中用 return 返回。
    首先我们定义一个jiance里面包含了headers,response.
def jiance(payload):
    headers={'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36',}
    response = requests.session()       #相当于保存cookie,方便下一个访问
    response_ = response.get(payload,timeout=3,verify=False,headers=headers)
    return response_

注: response_ = response.get(payload,timeout=3,verify=False,headers=headers这个也就是 get response中的payload,以及移除ssl证书取消警告,取上文中我们设置的headers,达到请求的作用。

4. 漏洞验证函数

def audit(arg):
  payload = arg + 'path'
  try:
        response = jiance(payload)
        print(response.content)

payload= arg+‘path’
设置payload=arg(arg为下面我们传上来的url)+ 后面的payload的
完成的请求则为 http://xxx.com/path
Try:为异常处理都是于except来用,达到异常处理。
response=jiance(payload) 读取出http所返回的状态
print(response.content)打印出我们 所读取出来的http的状态

if response.status_code==200 and "filename:" in  response.content:
            if warning_info:
                print(warning_info)
    except Exception as error:
        print (error)

if __name__ == "__main__":
    audit(""): 如果执行主函数我们便会执行下面的audit
Audit又传到了上面的arg里面,测完成整个payload的测试

5. 结尾

其实这个poc还可以根据自己需求进行更改这个框架只是为了有一个大概思路。

Jensen_79
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
matlab将表格数据转化成折线图代码-python_poc:PythonPOC
05-27
matlab将表格数据转化成折线图代码python_poc Python POC Python是动态的解释型语言。 没有变量,参数或函数的类型声明。 这使代码简短而灵活,但是您会丢失对源代码的编译器时间类型检查。 Python在运行时跟踪变量...
Python安全开发----sqlmap api&Tamper&Pocsuite框架
qi_SJQ_的博客
02-25 813
1.知识: 知识点: Request 爬虫技术,Sqlmap api 深入分析Pocsuite 分析框架代码二次修改等。 目的: 掌握安全工具的 API 接口开发利用,掌握优秀框架的二次开发插件引用等。 2.Sqlmap API 调用实现自动化 SQL 注入安全检测: 参考自:https://www.freebuf.com/articles/web/204875.html 流程: 1.创建新任务记录任务 ID :@get("/task/new") 2.设置任务 ID 扫描信息: @post(".
python编写poc_Poc编写
weixin_39619635的博客
01-14 1094
0x01 PoCPoC(全称: Proof of Concept), 又叫概念验证。作为我们的漏洞验证程序,他可能是一段不完整的程序,仅仅是为了证明我们提出漏洞的观点。推荐使用Python编写PoC,因为安全界用 Python 的人居多,写的东西能被更多人看懂,并且 Python 这门语言的灵活,类库强大等特性,给编写的人提供了很大便利。Exp(全称: Exploit),又叫漏洞利用程序。比如目标...
python编写EXP/POC速成小记
U_U520的博客
02-22 1861
find() 方法检测字符串中是否包含子字符串 str ,如果指定 beg(开始) 和 end(结束) 范围,则检查是否包含在指定范围内,如果包含子字符串返回开始的索引值,否则返回-1。上述脚本存在误报,就是payload只有一个单引号闭合,没办法检验数字型sql,双引号型,’)型,’))等在payload中多加几个类型,可以直接导入自己的FUZZ字典。漏洞刚被批漏之后,有时候现有的工具里面是没有相应的EXP的,那我们可以根据原理写出对应的EXP代码,验证漏洞是否存在。不然会出现报错不适用。
PythonPOC编写
qq_59923059的博客
08-15 1748
PythonPOC编写入门
python编写简单poc,验证dvwa靶场
最新发布
记录日常学习
09-02 351
python编写简单poc练习,熟悉poc基本构造,以dvwa为例。
chatgpt赋能pythonPythonPOC:提高网络安全攻防技能的利器
weixin_45566993的博客
06-02 479
POC是指为了验证某项功能是否存在或漏洞是否可被成功利用的一段代码。在网络安全领域中,POC通常被用于验证漏洞是否存在或者可被攻击者利用。POC可以用于漏洞发现过程中,攻击者通过编写和利用POC来寻找漏洞。同时,POC也可以用于漏洞修复过程中,安全研究人员或漏洞发现者利用POC来验证漏洞是否已经被修复。POC通常表示为一些脚本程序或者独立的应用程序。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc。
poc:我所有的python poc
04-07
pythonpoc 我所有的python poc
pythonpoc编写——sql篇
qq_51796436的博客
03-02 6467
sql注入漏洞漏扫单个网站基础sql扫描多个网站sql基础扫描 poc:即验证漏洞是否存在的脚本,也就是扫描器 兄弟们,开始写扫描器啦 sql注入漏洞漏扫 单个网站基础sql扫描 第一步,当然是写request函数啦。除了时间盲注外,1' and 1=2%23就能判断字符型的sql注入
python 一个通用的POC模板
YouthBelief的博客
02-16 1225
0x00 前言 平时工作中 需要编写pocpoc 大多步骤是重复的 比如用户输入 等 因此写一套模板 直接套用即可 0x01 模板编写 1.1 引入库 import sys import getopt import requests import threading import time import os import datetime import urllib3 from colorama import init, Fore # 修改命令行中颜色的库 #禁用https安全请求警告 以防
PocStart:轻量级漏洞验证和利用框架
05-09
PocStart 轻量级多线程并发漏洞检测和利用框架,用于批量验证和利用漏洞,参考和 .用户可根据自己喜好和需求进行二次开发。 开发环境: windows python3.6 建议使用python3运行,python2官方已停止更新,后续新添加poc会使用python3开发 快速开始: 使用手册: SCRIPT: -s NAME load script by name (-s ./pocs/jobss) or path (-s ./pocs/jboss.py) TARGET: -iS TARGET scan a single target (e.g. www.wooyun.org) -iF FILE load targets from targetFile
一篇文章教你学如何编写poc
weixin_62369433的博客
04-10 2670
POC 指 Proof of Concept(概念验证),是指一个可行性验证,即通过构建一个小型系统或单项功能来验证技术的可行性和正确性。POC 脚本,就是为了验证特定安全漏洞或安全问题而编写的脚本,可用于检测该漏洞是否存在,以及漏洞的利用方式和危害范围。POC 脚本可以帮助安全研究人员快速、简便地检测漏洞,而不需要手动去复现漏洞,减轻了工作难度。POC 脚本可以验证漏洞的利用方式和危害范围,帮助安全研究人员更好地了解漏洞对系统的影响,从而更好地为漏洞修复提供技术支持。
python poc模板
m0_65109001的博客
04-03 236
自己写了一个漏扫模板,方便使用。
【关注观星公众号】渗透系列之POC编写之刷分大法
Websec
12-04 4065
一、前言:POC&EXP 什么是POC:即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行,对承载用户数据量和运行时间进行实际测算,并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。在信息安全里,POC为漏洞验证程序,功能为检测漏洞是否存在。poc和exp(全称Exploit)的区别就是,poc是漏洞验证程序,exp是漏洞利用程序。针对通用型应用漏洞编写poc,可
sql注入pythonpoc_分享使用python编写poc,exp的实例教程
weixin_39592789的博客
12-17 472
在很久很久以,我有一个梦想 但是,后来我发现我的梦想渐渐没有了于是,昨天我思考了一晚上觉得我应该有个梦想的!好了,回到正题。正所谓明人不装暗逼,今天我家开通了公网ip我开森啊,很开森的那种!额,又跑题了下面我们真的开始了:0x01先来简单看看鞋poc,exp的思路吧:首先,我们需要知道这个漏洞,也就是发现漏洞然后,我们需要知道这个漏洞原理,也就是了解原理其次,我们需要搭建环境,或者是网上找环境了解...
python编写poc_POC编写基础知识
weixin_29405101的博客
12-23 3279
什么是 PoCPoC(全称: Proof of Concept), 中文译作概念验证。在安全界,你可以理解成为漏洞验证程序,和一些应用程序相比,PoC 是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码什么是 ExpExp(全称: Exploit),中文叫漏洞利用程序。名字上说的已经很清楚了,简单讲,就是一段可以发挥漏洞价值的程序,这话感觉和没说一样。想象一下这样的场景,目标存在一个 SQL...
Pocsuite3渗透测试框架编写POC和EXP脚本
悦分享
07-07 5630
一、Pocsuite3简介编写poc和exp并不是大佬们才会的,借助于某些框架,小白也可以编写自己的poc和exp,并且实现批量刷SRC。我们这里使用Pocsuite 3 来实现自己编写脚本,Pocsuite是由”知道创宇404实验室”打造的一款开源的远程漏洞测试框架,你可以直接使用它进行漏洞的验证与利用,也可以基于它进行POC/EXP的开发Pocsuite 3用Pyhton3编写,支持verify、attack及shell三种模式,可以通过指定单个目标或者从文件中导入多个目标,使用单个POC或者POC集合
python画皇冠_GitHub - crown-prince/Python_PoC: 一款python编写的Web安全检测PoC&&EXP框架...
weixin_39851974的博客
11-26 241
#Python PoC项目概述:造轮子的第一步,一款Python 3下的Web安全检测PoC&&EXP模板的编写及整理,以及国内公开PoC代码分析###            Coder:crown prince###          E-mail:[email protected]===========================##前言:编写这款程序的最终目标,是希望实...
如何打造自己的PoC框架-Pocsuite3-框架
cp15191163199的博客
05-13 933
本节笔者将按照Pocsuite框架结构以及工程化实践,来实现一款自己的PoC框架。为了开一个好头,我们先取一个好听的名字,想威武霸气一些可以取上古神器之类的,诸如轩辕夏禹赤霄干将,若怀着对游戏的热爱也可以有山丘之王(Mo...
Pythonpoc脚本进行升级
03-28
作为AI语言模型,我不清楚您具体指的是哪个Pythonpoc脚本,不过升级Pythonpoc脚本的一般步骤如下: 1. 检查Python版本:确保您的Python环境已经升级到最新版本,并且支持脚本所需的Python版本。 2. 更新依赖库:查看脚本所依赖的库是否有新版本,如果有,需要更新依赖库。 3. 修改代码:根据需要修改脚本代码,以适应新的需求。 4. 测试脚本:测试脚本以确保它能够正常运行,以及符合您的期望。 5. 文档更新:在升级完成后,更新脚本的文档以便其他人能够理解和使用该脚本。 需要注意的是,在升级Pythonpoc脚本时需要仔细检查脚本的功能和逻辑,确保升级后的脚本能够正确地执行其目的。同时,您需要遵循最佳实践,使用清晰、简洁的代码来提高脚本的可读性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值