盒子自动提交脚本

Track-劲夫   ·   发表于 2021-11-15 15:22:28   ·   安全工具

漏洞盒子自动提交脚本

文件的大致作用如图

前期的环境配置

这一段是后面加的,压缩包里面多了一个librays.txt的文件,在上图中是没有的,这里面存放的是使用脚本需要用到的python库,在使用前先用下面的命令安装一下需要的库

  1. pip install -r librays.txt

然后配置一下selenium所需要的环境,打开chorme浏览器查看自己的chrome版本

然后去下载seleniumdriver这个驱动,点击跳转,下载链接

在里面找到和自己chrome浏览器对应的版本号,然后点进去(找不到一模一样的找相近的)

windows系统下载这个32位的就好

里面有一个chromedriver.exe文件,解压出来放到一个空文件夹下

然后把这个文件的路径添加到path这个环境变量中,配置就结束了

开始使用

使用提交文件的第一件事就是需要修改config.yaml文件中的配置信息,需要修改的点上面有会有**作为标记,里面的注释也提示的很详细

  1. 第一个修改点,漏洞盒子的登录账号和密

下面要修改的内容都是content下的内容

  1. 漏洞标题的前后缀,例如说你想写某某站点存在SQL注入,那么你只需要在这里写SQL注入就好了

  1. type2是你要提交的漏洞类型,在define的内容中有对照支持提交的类型,目前只有SQL注入,任意文件操作,弱口令

  1. 修改漏洞简述和修复方案,如果内容很长的话可以换行写,自己在内容后面加上\n,不然填写的时候,他们都是连在一起的

配置结束

打开bugs.xlsx文件填写要提交的漏洞信息

  1. 字段的含义如下,如果说你提交的漏洞类型不需要某列的数据,那么你不填也行

  1. 这里poc的话如果要填http请求包,直接bp抓包然后复制放进去就好了

  2. 复现步骤里面呢是用@来进行分行的,如果说要上传图片的话,那么就需要填写图片的在本机上的绝对路径,并且独占一行,也就是如下面这样,可以现在记事本里面分行也好,然后在删成一行填进去

    1. 这里存在漏洞,@D:/1.png@

如果是刚开电脑第一次交洞,那么先自己打开浏览器交一次(不需要真的提交),就是要点一下提交漏洞,因为他会有个答题的弹框,第一次答完再去启动脚本

poc的修改(不会写poc的不用看)

​ 关于这个脚本我是想简化大家写poc时一些步骤,所以才给出来的,如果说有小伙伴可以写出自动验证,并且配合这个提交脚本xlsx文件的,那么自己写也行

  1. 这里要修改的就是poc和exp这两个方法,poc负责验证漏洞存在,exp负责验证可以利用,并且填写漏洞信息到excel中,如果说你要验证的这个漏洞只需要验证存在就可以提交,那么写好poc就OK了,exp中就修改提交的内容格式就好了

  2. poc 文件返回的是布尔值,存在就返回true否则false

  1. exp的话截图不是太清楚,直接去看源代码吧,我把注释进行了补充
用户名金币积分时间理由
奖励系统 50.00 0 2021-12-04 16:04:41 投稿满 5 赞奖励

打赏我,让我更有动力~

附件列表

auto2.0.zip   文件大小:0.193M (下载次数:96)

8 条回复   |  直到 2022-1-4 | 1604 次浏览

喜欢悠哉独自在
发表于 2021-11-16

芜湖,劲夫劲夫,全场欢呼

评论列表

  • 加载数据中...

编写评论内容

浩琦很好奇
发表于 2021-11-16

牛啊,老大

评论列表

  • 加载数据中...

编写评论内容

山屿云
发表于 2021-11-16

击剑?

评论列表

  • 加载数据中...

编写评论内容

牛头人
发表于 2021-11-16

写的真棒

老师录播啥时候传。。

评论列表

  • 加载数据中...

编写评论内容

依依东望
发表于 2021-11-17

大牛!

评论列表

  • 加载数据中...

编写评论内容

没勇气先生
发表于 2021-11-19

棒棒!

评论列表

  • 加载数据中...

编写评论内容

askes24
发表于 2021-11-29

+1

评论列表

  • 加载数据中...

编写评论内容

s_sss
发表于 2022-1-4

为什么下载不了了呢?

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.