POC-bomber(漏洞检测/利用工具)

最新推荐文章于 2023-11-11 17:17:03 发布
最新推荐文章于 2023-11-11 17:17:03 发布
阅读量1.7k 收藏 10
点赞数
分类专栏: 脚本 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71169068/article/details/131453903
版权

旨在利用大量高危害漏洞的POC/EXP快速获取目标服务器权限

POC bomber 的poc支持weblogic,tomcat,apache,jboss,nginx,struct2,thinkphp2x3x5x,spring,redis,jenkins,php语言漏洞,shiro,泛微OA,致远OA,通达OA等易受攻击组件的漏洞检测,支持调用dnslog平台检测无回显的rce(包括log4j2的检测),支持单个目标检测和批量检测,程序采用高并发线程池,支持自定义导入poc/exp,并能够生成漏洞报告
POC bomber默认使用验证模式进行poc的验证,如返回结果中attack的值为True时,可以加参数(--attack)进入攻击模式直接调用exp进行攻击(需要指定poc文件名),达到一键getshell

本项目收集互联网各种危害性大的 RCE · 任意文件上传 · 反序列化 · sql注入 等高危害且能够获取到服务器核心权限的漏洞POC/EXP,并集成在 POC bomber 武器库中,利用大量高危害POC对单个或多个目标进行模糊测试,以此在大量资产中快速获取发现脆弱性目标,获取目标服务器权限。适用场景包括但不仅限于以下:

  1. hvv快速打点
  2. 漏洞资产测绘
  3. 维护个人漏洞扫描器

下载安装:

  git clone https://github.com/tr0uble-mAker/POC-bomber.git            
  cd POC-bomber
  pip install -r requirements.txt

使用方法: 

   查看用法:     python3 pocbomber.py
    
    模式:
            获取poc/exp信息:   python3 pocbomber.py --show
            单目标检测:        python3 pocbomber.py -u http://xxx.xxx.xx
            批量检测:          python3 pocbomber.py -f url.txt -o report.txt 
            指定poc检测:       python3 pocbomber.py -f url.txt --poc="thinkphp2_rce.py"
            exp攻击模式:       python3 pocbomber.py -u 目标url --poc="指定poc文件" --attack
    参数:
            -u  --url      目标url
            -f  --file     指定目标url文件   
            -o  --output   指定生成报告的文件(默认不生成报告)
            -p  --poc      指定单个或多个poc进行检测, 直接传入poc文件名, 多个poc用(,)分开
            -t  --thread   指定线程池最大并发数量(默认30)
            --show         展示poc/exp详细信息
            --attack       使用poc文件中的exp进行攻击
            --dnslog       使用dnslog平台检测无回显漏洞(默认不启用dnslog,可在配置文件中启用)

配置文件:

 /inc/config.py

 验证模式:

python3 pocbomber.py -u http://xxx.xxx

python3 pocbomber.py -u http://xxx.xxx --poc="thinkphp2_rce.py" --attack

 

 项目地址:

https://github.com/tr0uble-mAker/POC-bomber

 

 

老六_小二郎
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
红队快速打点工具POC bomber
lza20001103的博客
08-18 1467
红队快速打点工具POC bomberPOC bomber是一款检测工具,旨在利用大量的POC/EXP快速获取目标服务器权限。 本项目收集互联网各种RCE 、任意文件上传、sql注入等高危害且能够获取到服务器核心权限的POC/EXP,并集成在POC bomber武器库中,利用大量高危害POC对单个或多个目标进行模糊测试,以此快速获取目标服务器权限,适合在红蓝对抗或hvv中帮助红队快速找到突破口进入内网。 POC bomberpoc支持weblogic,tomcat,apache,jboss,nginx
网安工具系列:POC检测工具-nuclei(四)
最新发布
weixin_54626591的博客
05-18 55
POC检测工具-nuclei(四)
POC检测工具-POC-bomber(二)
siu~
07-28 538
POC bomber 是一款漏洞检测/利用工具,旨在利用大量高危害漏洞POC/EXP快速获取目标服务器权限。
盘点那些漏洞 POC 测试工具
wuli1024的博客
11-11 1855
以上工具覆盖仅仅个人总结,还有其他专注 POC 检测工具,比如知道创宇的 pocsuite3,只随软件携带来十几个案例 POC,目前我使用最多的就是 xray、xpoc、nuclei 这些工具,最近开始用 afrog,大家有好用的工具欢迎留言讨论,一起学习探讨。文库目录:https://wiki.xazlsec.com/static/forder.html。
POC-T批量poc验证工具
Grey的博客
03-22 1万+
POC-T神器介绍批量验证要解决的三个关键点: 数据:数据怎么来? 处理:逻辑是什么?  并发:如何实现?安装过程:git clone [url]https://github.com/Xyntax/POC-T[/url] pip install -r requirement.txt python POC-T.py数据:数据来源很丰富,也很贴心。包括单个目标(-iS)、文件导入(-iF)、搜索引...
Niu!简单漏洞的快速批量验证脚本
潇湘信安的博客
07-16 987
追梦信安@W01fh4cker师傅新造的一个‬轮子,适‮利合‬用简‮的单‬漏洞的批量扫描,例‮只如‬需要在url后面拼接一个payload,然‮根后‬据返‮包回‬判断关键字是‮存否‬在这种。
如何做IT项目PoC测试
木东的博客
11-25 1万+
PoC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。 验证内容 1、产品的功能。产品功能由企业提供,企业可以根据自己的需求提供功能清单,也可以通过与多家供应商交流后,列出自己所需要的功能; 2、产品的性能。性能指标也是由企业提供,并建议提供具体性能指标所应用的环境及硬件设备等测试环境要求; 3、产品...
POC-bomber-main.zip
11-21
POC-bomber-main.zip
CVE-2020-1938 漏洞利用工具POC
09-12
通过Python 执行POC可以轻松读取存在漏洞服务器上的文件或编译执行木马文件
xray-poc-generation::dna: 辅助生成 XRay YAML POC
05-06
:dna: XRay POC Generation XRay安全评估 > POC辅助生成工具。 关于XRay: 访问 即可直接使用。 :laptop: 本地运行 ...cd xray-poc-generation yarn yarn build 编译完成后,Web目录在build/文件夹。
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
漏洞扫描工具系列-1.1
04-01
这是漏洞扫描工具系列-1.1,后续我还会出更多的工具和资源,关注我,领取免费工具
python端口扫描器—多线程
qq_23347209的博客
07-06 472
而多线程是Python中常用的一种并发编程方式,能够提高程序的运行效率。通过使用多线程,可以在程序中同时运行多个任务,充分利用CPU资源。提供了多线程编程的支持,可以通过创建Thread对象来创建和启动线程,通过使用锁机制来避免多个线程同时访问共享资源导致的数据竞争和错误。可以用于网络编程、数据处理、并发读写等场景,可以大大提高程序的效率和性能。Python中内置的。
POC检测工具-afrog(三)
siu~
07-28 2808
afrog 是一款快速、稳定的高性能漏洞扫描器。支持用户自定义PoC,内置CVE、CNVD、默认密码、信息泄露、指纹识别、越权访问、任意文件读取、命令执行等多种类型。通过afrog,网络安全专业人员可以快速验证和修复漏洞,这有助于增强他们的安全防御能力。
编写poc和exploit的几款常用工具介绍
热门推荐
koozxcv的博客
06-12 1万+
1.pwntools pwntools是一个CTF框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。 pwntools对Ubuntu 12.04和14.04的支持最好,但是绝大多数的功能也支持Debian, Arch, FreeBSD, OSX, 等等。 sudo pip install pwntools即可安装
工具| PocSuite 使用介绍
天涯的浪子
10-25 6648
POC是用来验证漏洞是否存在的一段代码。 1. 斗哥采访环节 什么是POC? 答:POC是用来验证漏洞是否存在的一段代码,经常对漏洞检测的同学对写POC这件事应该不陌生吧哈哈。 框架有什么用? 答:通常我们写POC除了考虑它的通用性以外,还会考虑批量化,线程等。POC写多了需要规范管理和使用,于是框架应运而生了。我们可以写一个POC框架,帮助我们实现批量化和线程输出报告...
WEB安全渗透测试》(16)利用Python编写漏洞批量检测POC
午夜安全
10-31 2482
WEB安全渗透测试》(16)利用Python编写漏洞批量检测POC ECShop的user.php文件中的display函数的模板变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录等操作,可直接远程把webshell写入服务器。$back_act变量来源于HTTP_REFERER,我们可以控制它。Ecshop使用了 php 模版引擎 smarty ,该引擎有两个基本的函数assign()、display()。...
漏洞应急响应之批量poc验证
dfdhxb995397的博客
07-31 1378
0x01前言 当互联网爆出高危漏洞,或者团队内部挖到0day,无论甲方还是乙方都需要了解漏洞的影响面,这个时候就需要poc批量验证,包括网络安全爱好者对“批量”这个词一定不会陌生,我们今天就来聊聊“批量”那些事。目前,有很多优秀的poc批量验证工具,比如我之前的帖子(https://bbs.ichunqiu.com/thread-9519-1-1.html)发过pentestdb...
Android签名验证漏洞POC及验证
QY'UniverseSpace的博客
07-07 911
poc实际上就是一段漏洞利用代码,以下是最近炒得很火Android签名验证漏洞POC,来自https://gist.github.com/poliva/36b0795ab79ad6f14fd8 1 #!/bin/bash 2 # PoC for Android bug 8219321 by @pof 3 # +info: https://jira.cyanogenmod.org/browse/CYAN-1602 4 if [ -z $1 ]; then echo “Usage: $0 <file.ap
解决 poc-yaml-druid-monitor-unauth 漏洞
07-20
您好!对于解决 poc-yaml-druid-monitor-unauth 漏洞,您可以采取以下步骤: 1. 更新和升级:确保您正在使用的Druid版本是最新的,并应用任何可用的安全补丁。及时更新软件可以解决已知的漏洞。 2. 访问控制:配置Druid监控界面的访问控制,限制只有授权的用户才能访问。您可以通过认证、授权或者访问控制列表等方法来限制访问权限。 3. 审查配置:仔细审查Druid监控界面的配置文件,确保没有配置错误或者允许未经授权的访问。 4. 防火墙规则:在服务器上设置防火墙规则,只允许受信任的IP地址或者IP地址范围访问Druid监控界面。 5. 安全审计:定期进行安全审计,检查Druid监控界面是否存在任何安全漏洞或配置错误。 6. 监控和日志:设置监控和日志记录,及时检测和响应任何异常活动或潜在的攻击。 请注意,以上仅为一般性建议,具体的解决方法可能因实际情况而异。在实施任何安全措施之前,请确保您了解您的系统和环境,并充分测试和评估任何更改的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值