漏洞盒子批量提交脚本5.1.26
漏洞盒子批量提交脚本5.1.26
信安404 2025-01-06 04:00
前言
基于 掌控安全-劲夫 漏洞盒子自动提交脚本3.0 修改
注:同一CMS的同一漏洞数量超过5个时建议使用该脚本,少于该数量手动应当更快。
文件简介
submitted.txt
:
用于记录提交失败的网站,并且会记录提交失败的原因,不用管。
bugs.xlsx
:
填写每个站点的信息(漏洞标题(网页title)、厂商信息、所属域名、所属地区、所属行业、所属行业分类、漏洞url/位置)。建议先写这个,避免无法确认厂商造成的重复工作。
config.yaml
:
脚本的配置文件,放置有漏洞盒子的cookie(vulbox_token,每次登录漏洞盒子后手动提取),漏洞信息(标题、类型、等级、描述、请求POC、修复建议、复现步骤),当前漏洞统一使用4张图(厂商归属、漏洞站点首页、漏洞执行、漏洞结果),其他情况需要自己修改代码。
{images1}
:标识图片,序号1为第几张图片。
{scheme}
:标识协议,如http、https。
{netloc}
:标识网络位置部分,即主机地址和端口号部分,如baidu.com:8080、192.168.1.2:10808。
vul-md
:
name.txt:存放从bugs.xlsx复制出来的漏洞单位列表。
py_name.py:运行后根据name.txt生成以漏洞单位为文件名的md文件,用于存放复现图片,每个md文件中的图片数量要符合需要符合复现步骤中的{images*}标识数量
vul-test
:
漏洞信息预处理文件,可以先在该目录确认好漏洞站点的归属单位,再将可确认归属的行复制到bugs.xlsx。
复现步骤demo.txt
漏洞id.txt:
修复建议demo.txt
vul-all.xlsx:漏洞信息预处理文件,包括:漏洞URL、厂商信息、所属域名、所属地区1、所属地区2、所属地区、所属行业、所属行业分类、备注。
0x02 使用说明
-
安装所需要的库:
python3 -m pip install -r requirements.txt -
验证漏洞存在后,填写bugs.xlsx,确认能够找到厂商。
-
登录盒子,获取vulbox_token,填入config.yaml,并修改该文件中的其他内容以符合当前漏洞。
-
从bugs.xlsx获取漏洞单位列表,并填入name.txt,运行py_name.py获得对应的md文件,
-
运行脚本
python main-test.py
,等待结果。
0x03 测试效果
此处以使用EduSoho教培系统classropm-course-statistics存在任意文件读取漏洞为例,将写好的报告存入漏洞盒子草稿箱中。
查看漏洞盒子草稿箱
0x04 免责声明
本文章仅做网络安全技术研究使用!另利用非吾安全公众号所提供的所有信息进行违法犯罪或造成任何后果及损失,均由使用者自身承担负责,与非吾安全公众号无任何关系,也不为其负任何责任,请各位自重!公众号发表的一切文章如有侵权烦请私信联系告知,我们会立即删除并对您表达最诚挚的歉意!感谢您的理解!让我们一起为我国网络安全事业尽一份自己的绵薄之力!
关注公众号并回复【
漏洞盒子
】即可获取项目地址&下载链接!