一款简单好用的漏洞管理工具-miscan
一款简单好用的漏洞管理工具-miscan
mifine666 鹏组安全 2024-11-09 11:49
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
漏洞管理工具
漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮助安全人员更方便更高效的编写漏洞规则,以方便漏洞利用和漏洞验证。
关于工具的特殊规则
工具其实越简单越好,但为了方便使用,还是有以下几点规则需要了解。
1、响应和响应头的匹配支持正则匹配。不会使用正则也没关系,可以直接匹配关键字,如果存在特殊字符,可点击转义特殊字符一键转义。
2、在响应包中可以使用 {{变量}} 来保存信息,方便后续的请求包使用。
3、需要发送字节流的数据请使用 b64decode{{base64编码后的数据}} 来替换,常见于反序列化,上传文件等场景。
4、需要使用dnslog检测的漏洞可以使用 {{dnslog}} 替换,工具支持自动替换并检测结果。
功能测试
1、简单增加一个漏洞
在漏洞库中找一个进行测试****
填写好产品名称、漏洞名称,然后将请求包复制出来,粘贴到请求1中,响应包中可以使用正则匹配,点击保存即可
https://www.jyshare.com/front-end/854/
检测测试,可成功发现漏洞
2、如果需要发送多个请求包
后面的请求需要使用到前一个响应包中的信息,
例如下面这个蓝凌getLoginSessionId任意用户登录漏洞。
1、获取sessionId,填入请求,在响应的地方匹配
sessionId
2、
点击下一步,将sessionid添加到第二次的请求。然后获取返回cookie
3、点击下一步,
将cookie替换访问
3、需要使用dnslog验证漏洞存在
将请求包复制到请求1中需要dnslog的地方用{{dnslog地址}}即可
4、发送的请求包中存在字节流的数据
将请求包复制到
请求1
中需要字节流的地方放入到b64decode{{中}}即可
一套流程测试下来感觉还是非常的好用,爱用。
工具点击阅读原文获取
鹏组安全社区
服务: 常态化更新漏洞情报、渗透技巧,开发Nday漏洞利用工具,提供空间测绘
账号助力挖洞等等。
👇点击下方链接查看详细介绍👇
更多工具详看社区地址:
https://comm.pgpsec.cn
渗透测试工具箱
魔改开发的一些工具
社区中举办的活动列表
免责声明
由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号鹏组安全及作者不为
此
承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦