8.10!20+款OA漏洞批量利用工具

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量291 收藏
点赞数
分类专栏: 安全工具 文章标签: 安全 OA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40456839/article/details/132938653
版权

工具介绍

OA综合利用工具,集合将近20款OA漏洞批量扫描,本工具无毒无后门,因为含有冰蝎木马文件原因请下载时关闭防护软件。

关注【Hack分享吧】公众号,回复关键字【230724】获取下载链接

这个版本基本上可以说是另一种东西了,重新写了架构

操作模式灵感来源MSF,我很喜欢msf,所以用msf的交互模式来写
漏洞用YAML文件来验证
其实YAML更像nuclei,但我做了统一的规范化,调用方式用了另一种方法
其实还可以写其他的功能模块,后续再更新
这次删掉掉一些POC,选择的poc都是近两年的

图片

使用说明

  • 第一次使用脚本请运行:pip3 install -r requirements.txt
  • 面板是所有参数了致远就输入 zyscan tab键有补全命令的功能
  • 进入后help就可以查看,操作和msf一样

加载已定义的模块

图片

在主界面用set xxx 来加载book中自义定文件夹中的yaml文件

图片

图片

YAML模板

id: xxx                    #漏洞名称:必选项
time: 'xxx'                #纰漏时间:可选项

info:                      #这里主要是漏洞的信息:都是可选项
  name: xxxxx               #名称
  author: xxxxx             #作者
  severity: high            #漏洞等级
  description: xxxxxxx      #描述信息
  reference: xxxx           #参考链接

http:                      编辑请求
  - method: 
      - POST                #第一次请求方式 以此类推
      - GET                 #第二次请求方式
    path:
      - "{{BaseURL}}/xxxxxxxxxxx"  #第一次请求路径  跟请求方式对应
      - "{{BaseURL}}/xxxxxx"       #第二次请求路径
    body:
      - |
        "xxxxxxxxx"                #有post是必选项 第一次post请求的主体
    Rheader:
      - Content-Type:application/x-www-form-urlencoded & Accept-Enco   #第一次POST请求时的请求头,&分隔开,可选项
    Gheader:
      - Cookie:session & Content-Type:application & Accept-Encoding:deflate  # 第一次GET 请求头,&分隔开,可选项
    
    matchers-condition: and  #在最后一次请求后进行验证 所有条件为and或者or
    matchers:                                                           
      - type: word           #key值 必选项
        part: body           #验证的部分 可选项也可以是header和nuclei通用
        words:               #key对应的内容
          - "当前已登录了一个用户,同一窗口中不能登录多个用户"
          - "<a href='/seeyon/main.do?method=logout'"

      - type: status         #这里对应的是请求的响应                                        
        status:
          - 200     

    extractors:               #提取器 
      - name:                          
          - session           #Gheader 中的session 上边Gheader中
        part: 
          - Gheader           #提取的部分和赋值给Gheader
        time:                 #在第几次请求中进行提取
          - 1
        regex:
          - 'JSESSIONID=(.*)'

潇湘信安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nessus-8.10-x64漏洞扫描工具
08-17
Nessus是著名信息安全服务公司tenable推出的一漏洞扫描与分析软件,号称是”世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它”。
Crypto++ 8.7.0 Qt工程(Qt 5.15.x MinGW(8.10) 64-bit)
09-01
使用Qt Creator(9.0.2、11.0.0)直接加载工程文件(cryptopp870.pro),选择MinGW(8.10)构建。建议Qt 5.15.2及以上版本,采用Release-x64构建。 已剔除无效代码(测试和验证等),经测试,编译过程正常,输出动态...
致远OA检测工具-seeyon_exp
siu~
09-21 1045
致远OA综合利用工具
重点OA系统漏洞利用综合工具
Fly_鹏程万里
05-21 400
I-Wanna-Get-All是基于Apt-T00ls二次开发工具,I Wanna Get All 安全工具, 严禁一切未授权漏洞扫描攻击使用工具前建议判断系统指纹框架,部分漏洞为接口探测存活判断是否成功,实际利用情况以执行情况为准。
使用proteus仿真STM32超声波SRF04测距!Code+Proteus
bossen的博客
01-07 9166
本贴使用Proteus8.10,如低版本打不开可自行根据原理图绘制 单片机型号为:stm32f103系列 使用timer3。运行稳定,示数距离有偏差,可在源程序处更改。 如有问题,评论区留言
Carl训练营8.10打卡!
lllllinshaofei的博客
08-11 453
X200上安装Ubuntu 8.10+Compiz+emerald
ariest的专栏
12-13 1428
    X200上安装Ubuntu8.10很简单,硬件都可以自动识别.    装好后配置xorg.confgedit /etc/X11/xorg.confSection "Device"    Identifier  "Configured Video Device"EndSectionSection "Monitor"    Identifier  "Configured Monitor"End
Ubuntu 8.10 + D630 + 投影仪配置
aarongate的专栏
10-09 1678
在Windows下,接上投影仪,然后Fn + Fx就可以工作了,用户根本无需操心。Linux就很麻烦,Fn + Fx根本就没有反应,没办法得手工配置一下。 接上投影仪,就相当于增加了一个显示器,系统的工作模式是 Multi-Display。 首先来安装显卡驱动 点击 【System】 -- 【 Administration】 -- 【 Hardware Drivers】 选中 “NVIDIA accelerated graphic driver (version 177) [Recommended]
VMware+Ubuntu8.10+Skyeye+gdb实现u-boot源码调试
未来软件
04-01 1314
VMware+Ubuntu8.10+Skyeye+gdb实现u-boot源码调试 系统平台WindowsXP 虚拟机VMware Workstation 6.5.0 Ubuntu8.10安装程序ubuntu-8.10-desktop-i386.iso 下载地址:http://mirror.ylmf.net/ubuntu/8.10/ubuntu-8.10-desktop-i386.iso
ubuntu8.10下mplayer+win32codecs+Coreavc编译安装详解
Elric的专栏
03-11 2552
1. 如何安装win32codecs比起手动安装来,我更推荐加源安装的方法。medibuntu是目前最好的源。以ubuntu8.10为例先加源代码:sudo wget http://www.medibuntu.org/sources.list.d/intrepid.list --output-document=/etc/apt/sources.list.d/medibuntu.
win10安装nessus8.10
hkk1151043545的博客
09-22 6348
win10安装nessus8.10系列 目录Ness简介下载与安装软件初始化配置Nessus获取离线插件包更新离线包家庭版升级成专业版license授权文件(可选)重启服务效果图总结 目录 由于要学习一下网络安全,用到Nessus做扫描,就打算在自己电脑安装测试一下,亲自动手操作并写个比较完整的教程了,这里其实Li...
Elastic Stack 8.10:更简单的跨集群搜索和身份验证等等
Elastic 中国社区官方博客
09-16 632
Elastic Stack 8.10 增强了跨集群和向量搜索、数据摄取、Kibana® 和云注册。此外,借助 Elastic® 8.10,我们可以与几乎所有第三方安全集成,因为我们向 Webhook 连接器添加了客户端证书支持,并使用 Elastic Agent 将应用程序数据流式传输到 Kafka 代理。最后,当你在云中注册时,即可开始使用你选择的云市场,并轻松链接到 AWS、Google Cloud 和 Azure!Elastic Stack 8.10 现已在 ​Elastic Cloud 上推出 。
石青网站推广工具v1.7.8.10免费版
10-10
【标题】"石青网站推广工具v1.7.8.10免费版"是一专为网站优化和推广设计的应用程序,旨在帮助用户提高网站的在线可见性和流量。这工具的版本号1.7.8.10表明了它经过多次迭代和改进,以提供更稳定、高效的服务。 ...
Device Monitor 8.10 + Crack
02-27
Device Monitoring Studio是一可以帮助用户在电脑上监控设备的软件,你可以监控自己电脑上安装的数据传输设备,也可以安装win系统配置的网络适配器,也可以监控自己连接的USB设备,只要是数据传输的设备就可以在...
iar8.10.rar
09-10
总的来说,IAR for 8051 V8.10是一强大的8051微控制器开发工具,其全面的功能、优化的编译器和友好的开发环境,使得开发者能够高效地完成项目开发。无论你是初学者还是经验丰富的工程师,IAR Embedded Workbench都...
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 413
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 273
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1353
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
ubuntu8.10
04-24
3. 新的网络管理工具:Ubuntu 8.10引入了一个新的网络管理工具,称为NetworkManager。它使得配置和管理网络连接变得更加简单和直观。 4. 改进的软件包管理:Ubuntu 8.10引入了一个新的软件包管理工具,称为Software...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值