1. Toy模板网首页
  2. > Toy博客

xpoc漏洞使用与编写 浅尝

10月前 作者:春告鳥 分类:Toy博客 阅读(27) 违法举报

这篇具有很好参考价值的文章主要介绍了xpoc漏洞使用与编写 浅尝。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

下载地址 https://github.com/chaitin/xpoc/releases

目前最新版本是 0.0.4

可能是我还是不太习惯yaml这种结构的,感觉就很反人类,所以我以前一般都还是pocsuite用的比较多,结果pocsuite最后也支持yaml了 orz ,如下

#!yaml
name: test poc
description: This is a test POC script written in YAML format.
author: binjie09
date: 2023-06-12
references:
    - https://www.example.com/vuln
options:
    target:
        type: string
        required: true
        description: Target URL
    timeout:
        type: integer
        default: 10
        description: Timeout in seconds
poc:
    - name: Test vulnerability
      request:
          method: GET
          url: '{{target}}/vulnerability'
          headers:
              User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
              Accept-Language: en-US,en;q=0.8
          timeout: {{timeout}}
      response:
          - match: 'Vulnerable'
            keyword: true
            description: The target is vulnerable.
      error:
          - match: '403 Forbidden'
            description: Access denied.

运行xpoc

xpoc -h

编写yaml

你想真正把这玩意用起来就得自己写poc,本来想用在线版 为了安全性 算了

下载本地规则工具 https://github.com/zeoxisca/gamma-gui/releases

最新版本为 1.1

打开之后是这样

比如我想写一个未授权访问的POC

刚开始写POC的时候用这种图形化界面的生成就行 等后面用的比较多了,同时POC的复杂度上升了之后一般还是需要自己手动进行编写

最后生成的poc yaml为(当然我这里有些地方没有填写

name: poc-yaml-test
transport: http
rules:
  r0:
    request:
      method: POST
      path: /aaa
      follow_redirects: false
      headers:
        User-Agent: >-
          Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101
          Firefox/101.0
        Content-Type: application/x-www-form-urlencoded
        Accept-Encoding: gzip, deflate
      body: order=get
    expression: response.status == 200 && "SUCCESS".matches(response.body_string)
expression: r0()
detail:
  author: Cl0udG0d
  links: []

在临时发射场我们可以验证这里的POC的正确性

使用poc

复制出来之后使用xray调用

xpoc -r test.yaml -t http://www.baidu.com

这里当然是失败的 因为我随便乱写的POC 😃

总结

我以前还写过xray破解的教程 orz,相对xray来说 我更喜欢xpoc,可以让我定制化的程度更高,也有可能是我不会用xray hhh

END

建了一个微信的安全交流群,欢迎添加我微信备注进群,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注 😃文章来源地址https://www.toymoban.com/news/detail-481930.html

到了这里,关于xpoc漏洞使用与编写 浅尝的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 浅尝python 四

    1.1、可变类型与不可变类型 数据类型,整数(int),浮点数(float),布尔(bool),字符串(str),列表(list),元组(tuple),字典(dict) 划分标准:内存中数据是否允许被修改,允许被修改的 可变,否则 不可变【简单的判断标准:不使用等号,能否改变数据值】 可变

    2024年02月12日
    浏览(26)
  • 浅尝Transformer和LLM

    浅尝Transformer和LLM

    大语言模型势不可挡啊。 哲学上来说,语言就是我们的一切,语言所不能到达的地方我们也不能达到。就人类来说,语言或许已经不仅仅是一种工具那么简单,其不仅是人类在物理世界进行活动时不可或缺的媒介,也是我们自身构建精神世界时的一砖一瓦。语言的重要性已经

    2024年02月13日
    浏览(31)
  • 浅尝OpenResty

    浅尝OpenResty

    当一个域名中衍生出多个服务的时候,如果想要保持对外服务始终是一个域名,则需要通过nginx反向代理来实现。如果在转发的时候需要对具体的规则进行一些逻辑运算的话,则需要通过嵌入lua脚本来实现,而nginx本身是不支持lua功能的,目前可以通过: nginx + lua module来实现

    2024年02月11日
    浏览(37)
  • vue.draggable浅尝

    vue.draggable浅尝

    Vue.Draggable 是一款基于 Sortable.js 实现的 vue拖拽插件 。支持移动设备、拖拽和选择文本、智能滚动,可以在不同列表间拖拽、不依赖jQuery为基础、 vue 2 过渡动画兼容、支持撤销操作,总之是一款非常优秀的vue拖拽组件。本篇将介绍如何搭建环境及简单的例子,使用起来特别简

    2024年02月13日
    浏览(28)

  • ElementUI浅尝辄止23:Loading 加载

    Loading加载组件:加载数据时显示动效。 常见于加载数据量大的业务操作,附带动态效果。 在表格等容器中加载数据时显示。 可自定义加载文案、图标和背景色。 页面数据加载时显示。 Loading 还可以以服务的方式调用。引入 Loading 服务: 在需要调用时: 其中  options  参数

    2024年02月10日
    浏览(45)

  • ElementUI浅尝辄止25:MessageBox 弹框

    模拟系统的消息提示框而实现的一套模态对话框组件,用于消息提示、确认消息和提交内容。 从场景上说,MessageBox 的作用是美化系统自带的  alert 、 confirm  和  prompt ,因此适合展示较为简单的内容。如果需要弹出较为复杂的内容,还是要使用 Dialog。 当用户进行操作时会

    2024年02月10日
    浏览(40)

  • ElementUI浅尝辄止19:Badge 标记

    出现在按钮、图标旁的数字或状态标记。 可展示新消息数量。 可自定义最大值。 可以显示数字以外的文本内容。 以红点的形式标注需要关注的内容。 关于Badge 标记,它常见于网站或内容平台的消息数量展示。 

    2024年02月10日
    浏览(51)

  • ElementUI浅尝辄止26:Notification 通知

    悬浮出现在页面角落,显示全局的通知提醒消息。 适用性广泛的通知栏 带有 icon,常用来显示「成功、警告、消息、错误」类的系统消息 可以让 Notification 从屏幕四角中的任意一角弹出 使用 position 属性定义 Notification 的弹出位置,支持四个选项: top-right 、 top-left 、 bottom

    2024年02月09日
    浏览(33)

  • ElementUI浅尝辄止18:Avatar 头像

    用图标、图片或者字符的形式展示用户或事物信息。 常用于管理系统或web网站的用户头像,在用户账户模块更换头像操作也能看到关于Avatar组件的应用。 通过  shape  和  size  设置头像的形状和大小。 支持三种类型:图标、图片和字符 当展示类型为图片的时候,图片加载失

    2024年02月09日
    浏览(40)

  • ElementUI浅尝辄止33:Form 表单

    包括各种表单项,比如输入框、选择器、开关、单选框、多选框等。 W3C 标准中有如下规定: When there is only one single-line text input field in a form, the user agent should accept Enter in that field as a request to submit the form. 即:当一个 form 元素中只有一个输入框时,在该输入框中按下回车应提交

    2024年02月09日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包