PocSuite是一款基于漏洞与 PoC的远程漏洞验证框架,是知道创宇的安全团队开发的。本文主介绍Pocsuite的基本使用方式,首先进行安装:以下有三种方法。
pip install pocsuite
git clone code
git clone [email protected]:knownsec/pocsuite.git
直接下载解压
wget https://github.com/knownsec/pocsuite/archive/master.zip
unzip master.zip
3. Pocsuite命令行模式
Pocsuite有两种交互模式,一个是命令行模式类似我们所知的sqlmap的界面,另一个是控制台交互模式类似w3af或者matasploit的界面。
查看帮助命令
python pocsuite.py -h
verify和attack两种POC模式
在使用Pocsuite的时候,我们可以用--verify
参数来调用_verify
方法,用--attack
参数来调用_attack
方法。
def _attack(self):
result = {}
#Write your code here
return self.parse_output(result)
def _verify(self):
result = {}
#Write your code here
return self.parse_output(result)
-
verify 模式:验证目标是否存在漏洞
pocsuite -r tests/poc_example.py -u http://www.example.com/ --verify
-
attack 模式:向目标发起有效的攻击
pocsuite -r tests/poc_example.py -u http://www.example.com/ --attack
-
批量验证,将url写到一个txt
pocsuite -r test/poc_example.py -f url.txt --verify
-
加载 tests 目录下的所有 PoC 对目标进行测试(可以充当扫描器角色)
pocsuite -r tests/ -u http://www.example.com --verify
-
使用多线程,默认线程数为1
pocsuite -r test/ -f url.txt --verify --threads 10
4.调用ZoomEye API
Pocsuite的强大之处还在于能够方便的调用ZooneEye和Seebug两大自家平台API。
--dork DORK :Zoomeye Dork ,用于在ZoomEye 搜索目标
--max-page MAX_PAGE :ZoomEye API 的请求翻页数(10 目标/页)
--search-type :ZoomEye API 搜索类型,web 或者 host
--vul-keyword VULKEYWORD :Seebug 搜索关键词,用于在Seebug 搜索漏洞POC
eg:从ZoomEye中调用host批量验证某个POC
pocsuite -r weblogic_CVE-2017-10271.py --dork 'weblogic' --max-page 5 --thread 20 --verify
5.POC注意事项
-
参照模版来写:模版地址。
-
引入基础库,尽量避免第三方库。
-
比较好POC符合:
-
随机性:检测的数据,发送的数据要随机。
-
通用性:考虑适应版本,各种不同的情况,操作系统等。
-
确定性:准确率的问题,这个POC一定能检测出漏洞来吗?
-
关于CEYE的使用:监视服务以进行安全测试
有时一些漏洞的检测并没有数据回显,如SQL盲注,如命令执行无回显等等。这时可以借助DNS查询nslook或者curl来监控数据。CEYE为我们提供了这样一种服务,地址:http://ceye.io。