文件的大致作用如图
这一段是后面加的,压缩包里面多了一个librays.txt
的文件,在上图中是没有的,这里面存放的是使用脚本需要用到的python库,在使用前先用下面的命令安装一下需要的库
pip install -r librays.txt
然后配置一下selenium
所需要的环境,打开chorme浏览器查看自己的chrome版本
然后去下载seleniumdriver
这个驱动,点击跳转,下载链接
在里面找到和自己chrome浏览器对应的版本号,然后点进去(找不到一模一样的找相近的)
windows系统下载这个32位的就好
里面有一个chromedriver.exe
文件,解压出来放到一个空文件夹下
然后把这个文件的路径添加到path这个环境变量中,配置就结束了
使用提交文件的第一件事就是需要修改config.yaml
文件中的配置信息,需要修改的点上面有会有**
作为标记,里面的注释也提示的很详细
- 第一个修改点,漏洞盒子的登录账号和密
下面要修改的内容都是content下的内容
- 漏洞标题的前后缀,例如说你想写某某站点存在SQL注入,那么你只需要在这里写SQL注入就好了
- type2是你要提交的漏洞类型,在define的内容中有对照支持提交的类型,目前只有SQL注入,任意文件操作,弱口令
- 修改漏洞简述和修复方案,如果内容很长的话可以换行写,自己在内容后面加上
\n
,不然填写的时候,他们都是连在一起的配置结束
打开bugs.xlsx文件填写要提交的漏洞信息
- 字段的含义如下,如果说你提交的漏洞类型不需要某列的数据,那么你不填也行
这里poc的话如果要填http请求包,直接bp抓包然后复制放进去就好了
复现步骤里面呢是用@来进行分行的,如果说要上传图片的话,那么就需要填写图片的在本机上的绝对路径,并且独占一行,也就是如下面这样,可以现在记事本里面分行也好,然后在删成一行填进去
这里存在漏洞,@D:/1.png@
如果是刚开电脑第一次交洞,那么先自己打开浏览器交一次(不需要真的提交),就是要点一下提交漏洞,因为他会有个答题的弹框,第一次答完再去启动脚本
关于这个脚本我是想简化大家写poc时一些步骤,所以才给出来的,如果说有小伙伴可以写出自动验证,并且配合这个提交脚本xlsx文件的,那么自己写也行
这里要修改的就是poc和exp这两个方法,poc负责验证漏洞存在,exp负责验证可以利用,并且填写漏洞信息到excel中,如果说你要验证的这个漏洞只需要验证存在就可以提交,那么写好poc就OK了,exp中就修改提交的内容格式就好了
poc 文件返回的是布尔值,存在就返回true否则false
- exp的话截图不是太清楚,直接去看源代码吧,我把注释进行了补充
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
奖励系统 | 50.00 | 0 | 2021-12-04 16:04:41 | 投稿满 5 赞奖励 |
打赏我,让我更有动力~
auto2.0.zip 文件大小:0.193M (下载次数:96)
© 2016 - 2024 掌控者 All Rights Reserved.
喜欢悠哉独自在
发表于 2021-11-16
芜湖,劲夫劲夫,全场欢呼
评论列表
加载数据中...
浩琦很好奇
发表于 2021-11-16
牛啊,老大
评论列表
加载数据中...
山屿云
发表于 2021-11-16
击剑?
评论列表
加载数据中...
牛头人
发表于 2021-11-16
写的真棒
老师录播啥时候传。。
评论列表
加载数据中...
依依东望
发表于 2021-11-17
大牛!
评论列表
加载数据中...
没勇气先生
发表于 2021-11-19
棒棒!
评论列表
加载数据中...
askes24
发表于 2021-11-29
+1
评论列表
加载数据中...
s_sss
发表于 2022-1-4
为什么下载不了了呢?
评论列表
加载数据中...