PocSuite是一款基于漏洞与 PoC的远程漏洞验证框架，是知道创宇的安全团队开发的。本文主介绍Pocsuite的基本使用方式，首先进行安装：以下有三种方法。

pip install pocsuite

git clone code

git clone [email protected]:knownsec/pocsuite.git

直接下载解压

wget https://github.com/knownsec/pocsuite/archive/master.zip
unzip master.zip

3. Pocsuite命令行模式

Pocsuite有两种交互模式，一个是命令行模式类似我们所知的sqlmap的界面，另一个是控制台交互模式类似w3af或者matasploit的界面。

查看帮助命令

python pocsuite.py -h

verify和attack两种POC模式

在使用Pocsuite的时候，我们可以用--verify参数来调用_verify方法，用--attack参数来调用_attack方法。

def _attack(self):
    result = {}
    #Write your code here
    return self.parse_output(result)

def _verify(self):
    result = {}
    #Write your code here
    return self.parse_output(result)

• verify 模式：验证目标是否存在漏洞

pocsuite -r tests/poc_example.py -u http://www.example.com/ --verify

• attack 模式：向目标发起有效的攻击

pocsuite -r tests/poc_example.py -u http://www.example.com/ --attack

• 批量验证，将url写到一个txt

pocsuite -r test/poc_example.py -f url.txt --verify

• 加载 tests 目录下的所有 PoC 对目标进行测试（可以充当扫描器角色）

pocsuite -r tests/ -u http://www.example.com --verify

• 使用多线程，默认线程数为1

pocsuite -r test/ -f url.txt --verify --threads 10

4.调用ZoomEye API

Pocsuite的强大之处还在于能够方便的调用ZooneEye和Seebug两大自家平台API。

--dork DORK ：Zoomeye Dork ，用于在ZoomEye 搜索目标

--max-page MAX_PAGE ：ZoomEye API 的请求翻页数（10 目标/页）

--search-type ：ZoomEye API 搜索类型，web 或者 host

--vul-keyword VULKEYWORD ：Seebug 搜索关键词，用于在Seebug 搜索漏洞POC

eg:从ZoomEye中调用host批量验证某个POC

pocsuite -r weblogic_CVE-2017-10271.py --dork 'weblogic' --max-page 5 --thread 20 --verify

5.POC注意事项

• 参照模版来写：模版地址。

• 引入基础库，尽量避免第三方库。

• 比较好POC符合：

• 随机性：检测的数据，发送的数据要随机。

• 通用性：考虑适应版本，各种不同的情况，操作系统等。

• 确定性：准确率的问题，这个POC一定能检测出漏洞来吗？

• 关于CEYE的使用：监视服务以进行安全测试

有时一些漏洞的检测并没有数据回显，如SQL盲注，如命令执行无回显等等。这时可以借助DNS查询nslook或者curl来监控数据。CEYE为我们提供了这样一种服务，地址：http://ceye.io。