GUI漏洞检测工具 -- Serein
2022-7-24 00:1:47 Author: web安全工具库(查看原文) 阅读量:117 收藏

项目作者:W01fh4cker
项目地址:https://github.com/W01fh4cker/Serein
一、工具介绍
一款图形化、批量采集url、批量对采集的url进行各种nday检测的工具。可用于src挖掘、cnvd挖掘、0day利用、打造自己的武器库等场景。可以批量利用Actively Exploited Atlassian Confluence 0Day CVE-2022-26134和DedeCMS v5.7.87 SQL注入 CVE-2022-23337。

二、安装与使用
1、需要python3.7~3.9
git clone https://github.com/W01fh4cker/Serein.gitcd Sereinpip3 install -r requirements.txtpython3 Serein.py
2、点击左上角的软件配置配置fofa的email和key(注意不是密码,而是https://fofa.info/personalData下方的API KEY),然后就可以愉快地使用fofa搜索啦。注意:必须是fofa普通/高级/企业账号,因为fofa注册会员调用api需要消耗f币,如果您是注册会员请确保您有f币,否则无法查询!
3、搜集完成之后,软件的同级目录下会生成urls.txt、修正后的url.txt、host.txt,分别保存采集的原始url、添加了http/https头的url、仅网站IP。
4、完成一次扫描任务后,若要开启下一次扫描,请删除文件夹下urls.txt、修正后的url.txt、host.txt这三个文件。
三、案例演示

1、我们想批量利用向日葵RCE漏洞,于是我们base64加密语句body="Verification failure",得到:Ym9keT0iVmVyaWZpY2F0aW9uIGZhaWx1cmUi。

2、我们选取获取前2000条(具体条数需要根据自己的会员情况来填写):

3、直接点击向日葵RCE一把梭:

4、可以看到软件开始批量检测了(可能会出现短时间的空白,请耐心等待程序运行):软件的线程数是100,可以自己对exp文件下的xrk_rce.py的第58行进行调整。(速度还是很快的)

5、删除文件夹下urls.txt、修正后的url.txt、host.txt这三个文件,准备使用其他一键梭哈模块:

三、下载地址:
1、通过项目地址下载
2、关注web安全工具库公众号,后台回复:20220724

四、声明:

仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。

推荐书籍

加我微信:ivu123ivu,进送书活动群,每天免费送书

《微信小程序开发从入门到项目实践》

《微信小程序开发从入门到项目实践》采取“基础知识→核心应用→高级应用→项目实践”的结构和“由浅入深,由深到精”的学习模式进行讲解。全书共13章。首先讲解微信小程序的发展历程、小程序账号注册以及项目的创建;然后通过对原生组件、视图容器组件、表单组件等小程序组件的讲解,使读者对小程序组件的使用方法等有一个初步的认识;接下来进行小程序API的讲解,通过对网络API、文件API、数据缓存API、媒体API等内容的介绍,使读者更加深入地了解小程序,并借助这些API方便快速地实现小程序的功能;最后通过实战项目,将小程序的基础知识串联起来,使读者在项目实践过程中体会小程序组件与API应用中的注意事项,并通过真实的案例帮助读者巩固基础,提高小程序组件与API使用的熟练度,快速积累开发经验。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247502374&idx=1&sn=68609dd346d4e942cd6e38ae3db85ee3&chksm=ebb52525dcc2ac33f69a3cb8d86f059379f39c42fc569ecdc1054238afcb0e05d6b2b40cd565#rd
如有侵权请联系:admin#unsafe.sh