daydayEXP: 支持自定义Poc文件的图形化漏洞利用工具

已于 2024-02-25 07:40:27 修改
阅读量1.1k 收藏 20
点赞数 21
文章标签: python 开发语言 web安全 网络安全 安全
于 2024-02-25 07:40:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36759934/article/details/136278580
版权
daydayEXP是一款基于Java FX的图形化渗透测试框架,允许用户加载自定义Poc文件进行漏洞扫描和利用。工具支持批量扫描、漏洞利用、结果导出等功能,并特别强调了在JDK8环境下使用。漏洞利用包括exec(命令执行)、upload(文件上传)和deserialization(仅支持JDK8)。用户可以自定义Poc,且提供了POC模板供参考。
摘要由CSDN通过智能技术生成

daydayEXP: 支持自定义Poc文件的图形化漏洞利用工具

基于java fx写的一款支持加载自定义poc文件的、可扩展的的图形化渗透测试框架。支持批量漏洞扫描、漏洞利用、结果导出等功能。

经过测试,项目可在jdk8环境下正常使用。jdk11因为缺少一些必要的组件,所以jdk11版本工具为jdk8版本项目的阉割版,无法使用反序列化利用模块(不影响针对反序列化漏洞的默认的URLDNS链探测)。

项目启动过程报错,尝试删除当前路径下poc、log目录

(请务必使用 -Dfile.encoding=UTF-8 参数打开项目,否则可能出现乱码、报错等问题)

java -jar -Dfile.encoding=UTF-8 dadayExp-1.0-jar-with-dependencies.jar   (jdk8)

因为jdk11以后就不自带javafx依赖了,所以运行需要指定javafx路径
java --module-path {javafx lib path} --add-modules ALL-MODULE-PATH -jar dadayExp-1.0-jar-with-dependencies.jar

建议设置代理配合burp使用!!!建议设置代理配合burp使用!!!建议设置代理配合burp使用!!!
打开工具,本地无poc,需要先从 poc管理-在线更新poc仓库 从github仓库或自定义仓库加载poc文件到本地,并在主面板 加载本地poc 后使用。

(也可以将poc仓库中poc文件夹和config.json配置文件直接下载到工具当前目录下的poc目录中)

在更新poc仓库和修改config.json文件后请及时 加载本地poc 。(如果涉及到修改api则需要重启项目)

选择一级菜单可对所有该标签下的漏洞都进行检测,选择二级则对单个漏洞扫描。支持批量扫描url、导出扫描结果、设置线程数等。 同时也支持设置dnslog,使用该模块可减少命令执行、反序列漏洞无回显导致的误报、漏报。

(如需要设置dnslog,请在项目启动前

最低0.47元/天 解锁文章
飞扬的浩
关注
pwnserver:一个支持高度自定义POC的漏洞扫描工具
04-15
PwnServer版本1.0.2 更新: 加快端口扫描 模块化支持 准确的服务信息扫描 指定用于漏洞扫描的服务 CMS版本信息扫描 显示IP地址位置信息 错误修复 自述文件: EnglishРусский 用法: 请检查项目 。
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具,方便我们进行漏洞利用getshell。
探索daydayEXP:一款强大的图形化渗透测试框架
最新发布
gitblog_00706的博客
08-28 247
探索daydayEXP:一款强大的图形化渗透测试框架 daydayEXP支持自定义Poc文件图形化漏洞利用工具项目地址:https://gitcode.com/gh_mirrors/da/daydayEXP 项目介绍 daydayEXP 是一款基于Java FX开发图形化渗透测试框架,灵感来源于nuclei的设计思路。它支持加载自定义POC文件,具有高度可扩展性,并且提供了丰富的功能来简化渗...
POC顶层文件
05-26
东南大学POC实验顶层文件verilog编写
探索高效渗透测试:daydayEXP - 强大的图形化框架
gitblog_00017的博客
06-11 266
探索高效渗透测试:daydayEXP - 强大的图形化框架 daydayEXP支持自定义Poc文件图形化漏洞利用工具项目地址:https://gitcode.com/gh_mirrors/da/daydayEXP daydayEXP是一个创新的、基于JavaFX的开源渗透测试工具,灵感来源于Nuclei项目,它提供了强大的自定义POC文件加载功能与高度可扩展性。随着不断的更新迭代,dayday...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 982
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
POC——DVWA‘s File Inclusion
weixin_45260839的博客
06-19 146
POC——DVWA's File Inclusion
Apache POC(对Excel文件操作)
weixin_67573348的博客
09-22 642
Apache POI 是一个处理Miscrosoft Office各种文件格式的开源项目,我们可以使用POI在java程序中对Miscrosoft Office各种文件进行读写操作一般情况下,POI都是用于操作Excel文件
Revery:从漏洞PoC到可利用状态(迈向自动化漏洞利用的一小步).pdf
09-10
本文档探讨的是Revery项目,它是一个研究方向,旨在将漏洞证明概念(Proof-of-Concept,PoC)转化为可利用的状态,从而推动自动化漏洞利用技术的发展。这一领域对于金融安全、自动化APT(Advanced Persistent Threat...
POC编写指南
03-27
转载自Medici.Yan,以真实案例为背景,针对当下主流的漏洞来分析漏洞,并且一步一步编写对应的 PoC
CustomCamera:iOS 自定义相机 Poc
06-16
在iOS开发中,有时我们需要超越系统提供的原生相机功能,为用户提供更加个性化和功能丰富的拍照体验。这就是自定义相机(Custom Camera)的概念。本项目"CustomCamera:iOS 自定义相机 Poc"是一个Objective-C实现的...
六个小时完成的集成poc脚本工具
xinyue9966的博客
02-27 1190
前言 本周python复习阶段,做了一个集成性的poc脚本用来测试网站、服务器子域名,mysql远程登录,端口、IP扫描探测 百度查找子域名 写了正则.*? .表示除\n之外的任意字符 *表示匹配0-无穷 ?表示懒惰匹配 前两个一起.*是贪婪匹配,尽可能多的匹配所有,(. * ?)就是匹配尽可能少的字符。就意味着匹配任意数量的重复,但是在能使整个匹配成功的前提下使用最少的重复。 """ Author:LuckyRiver Date:2021 1、通过百度搜索 toutiao.com ,爬取一页的子域名信息
python DVWA文件上传POC练习
weixin_56537388的博客
09-10 268
这里需要将内容变成这种格式的请求头,这里可以用笨方法一个一个改,但是这里是可以通过python的正则表达式来提高我们的效率的。这里先选择低难度的文件上传,低难度的是没有任何过滤可以直接上传的,先上传一个php一句话木马,使用burpsuite抓包。在头部信息里其实只要UA信息就可以了,cookie和accept可以要也可以不要,可以自己慢慢修改。首先,构造POC我们首先要明白漏洞利用的流程,然后要知道请求包的格式,然后才能针对性的POC。这里按照下面的步骤,如果要求不同选择其他正则表达式即可。
Python从0到POC编写--文件操作
余十步的博客
05-10 552
因为Windows系统的换行符为\r\n,Linux系统的换行符为\n,加上U则能自动把\r\n转换成\n。“U” 表示在读取时,可以将\r \n \r\n自动转换成\n(与r或者r+模式同时使用)如果 是使用 with open 方式,那么可以不用手动关闭文件,readlines() 读取所有内容(可指定读取字符数),默认是不换行的,如果想换行的话,得手动加入换行符 ‘\n’追加模式(可读,不存在则创建,存在则只追加内容)只写模式(不可读,不存在则创建,存在则覆盖)r+ 可读写文件(可读,可写,可追加)
POC&EXP编写—文件上传案例
剁椒鱼头没剁椒的博客
05-13 793
之前的文章基本上都是一些相对来说都是验证类的或者说是一些代码执行类的,相对来说都不是太复杂,而这篇会涉及到文件上传的案例,很多类似于代码执行这些,在编写的时候主要需要注意的就是执行完后,返回来的结果如何展现出来。phpinfo,可能不单单有漏洞在返回中有这个单词,还有可能正常情况下返回值也有这个单词,那不就出现误报了么?
2024年最新网络安全学习day6——永恒之黑漏洞复现,2024年最新下血本买的
2401_84281594的博客
05-06 766
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。7)运行脚本,发起攻击。
DayDayPoc平台2023年度十大漏洞盘点
C20220511的博客
01-09 1170
但是就在大家都对Weblogic已经非常放心的时候,CVE-2023-21839以一种全新的方式带来了另一种Weblogic的未授权RCE方式,虽然漏洞利用由于依赖于JNDI注入导致受JDK版本影响,导致漏洞危害等级并不是特别高,但这并不妨碍这是一个经典的Weblogic漏洞,绝对值得对漏洞进行分析研究,而且在此漏洞之后又爆出了类似的CVE-2023-21931漏洞。但是进入2022年之后,高质量的致远漏洞一直未出现,直到DVB-2023-5278漏洞的出现才有了能对市面上大多数致远OA都通用的高危漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞扬的浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值