X-RAY POC编写

已于 2023-11-25 12:08:48 修改
阅读量571 收藏 1
点赞数
文章标签: 安全
于 2023-11-25 11:28:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41672971/article/details/134607613
版权

POC(Proof of Concept) - 利用证明

POC,Proof of Concept,意思是 利用证明。这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的漏洞介绍,使得读者能够确认这个漏洞是真实存在的。

EXP(Exploit) - 漏洞利用

EXP,Exploit 中文意思是 漏洞利用。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。

基础的poc构成如下

name: poc-yaml-example-com
# 脚本部分
transport: http
rules:
    r1:
        request:
            method: GET
            path: "/"
        expression: |
            response.status==200 && response.body.bcontains(b'Example Domain')
expression:
    r1()
# 信息部分
detail:
    author: name(link)
    links:
        - http://example.com 作者:长亭科技 https://www.bilibili.com/read/cv17667816/?spm_id_from=333.999.0.0 出处:bilibili

整个 POC 大致可以分为 3 部分:

名称: 脚本名称, string 类型

脚本部分:主要逻辑控制部分,控制着脚本的运行过程

信息部分:主要是用来声明该脚本的一些信息,包括输出内容

poc主体的关键字的意义

rules:
    r0:
        request:
            cache: true
            method: POST
            path: "/"
            headers:
                Content-Type: application/json
            follow_redirects: true
            body: '{"username":"administrator","password":"1qazxsw23edcvfr4"}'
        expression: |
            response.status==200 && "welcome, administrator, xxxxxxxxxx".bmatches(response.body)
    r1:
        request:
            cache: true
            method: GET
            path: "/fetchBody?id=1/../../../../../../../../etc/passwd"
        expression: |
            response.status == 200 && "root:[x*]:0:0:".bmatches(response.body)
expression: r0() && r1() 作者:长亭科技 https://www.bilibili.com/read/cv17667816/?spm_id_from=333.999.0.0 出处:bilibili

1.  rules以及单个rule的名称

  ○ rules代表着一个规则集,在这个规则集中,将存放着所有要发送的信息以及要判断的规则

  ○ rule则是一个请求的规则,代表你想要发送什么样的请求。如上述所举的例子中,r0,r1是规则的名称

2.  request

该关键词中存在着构建一个请求包所要填写的信息,包括请求使用的方法,请求路径,请求头,请求body,是否跟随302跳转。

  ○ cache: bool 是否使用缓存的请求,如果该选项为 true,那么如果在一次探测中其它脚本对相同目标发送过相同请求,那么便使用之前缓存的响应,而不发新的数据包

  ○ method: string 请求方法

  ○ path: string 请求的完整 Path,包括 querystring 等 (详情见: HTTP PATH 的使用)

    ⅰ. 如果 path 是以 / 开头的, 取 dir 路径拼接

    ⅱ. 如果 path 是以 ^ 开头的, uri 直接取该路径

  ○ headers: map[string]string 请求 HTTP 头,Rule 中指定的值会被覆盖到原始数据包的 HTTP 头中

  ○ body: string 请求的Body(转译问题见:头疼的转译)

  ○ follow_redirects: bool 是否允许跟随300跳转, 默认为true

3.  expression

在rule下的expression是用来对返回包(response)进行匹配的,你可以编写各种各样的限制来判断返回包中信息,从而确认返回的内容是否符合要求。

正如spring使用SpEL表达式,struts2使用OGNL表达式,xray使用了编译性语言Golang,所以为了实现动态执行一些规则,我们使用了Common Expression Language (CEL)表达式:

response.status==200 && response.body.bcontains(b'Example Domain')

CEL表达式通熟易懂,非常类似于一个Python表达式。上述表达式的意思是:返回包的status等于200,且body中包含内容“Example Domain”。
expression表达式上下文还包含有一些常用的函数。比如上述 bcontains 用来匹配 bytes 是否包含,类似的,如果要匹配 string 的包含,可以使用 contains, 如:
值得注意的是,类似于python,CEL中的字符串可以有转义和前缀,如:(详情见:头疼的转义)

'\r\n' 表示换行

r'\r\n' 不表示换行,仅仅表示这4个字符。在编写正则时很有意义。

b'test' 一个字节流(bytes),在golang中即为[]byte

用一些简单的例子来解释大部分我们可能用到的表达式:

response.body.bcontains(b'test')

返回包 body 包含 test,因为 body 是一个 bytes 类型的变量,所以我们需要使用 bcontains 方法,且其参数也是 bytes

response.body.bcontains(bytes(r1+'some value'+r2))

r1、r2是 randomLowercase 的变量,这里动态的判断 body 的内容

response.content_type.contains('application/octet-stream') && response.body.bcontains(b'\x00\x01\x02')

返回包的 content-type 包含 application/octet-stream,且 body 中包含 0x000102 这段二进制串

response.content_type.contains('zip') && r'^PK\x03\x04'.bmatches(response.body)

这个规则用来判断返回的内容是否是zip文件,需要同时满足条件:content-type 包含关键字 "zip",且 body 匹配上正则r'^PK\x03\x04'(就是zip的文件头)。因为 startsWith 方法只支持字符串的判断,所以这里没有使用。

response.status >= 300 && response.status < 400

返回包的 status code 在 300~400 之间

(response.status >= 500 && response.status != 502) || r'<input value="(.+?)"'.bmatches(response.body)

返回包status code大于等于500且不等于502,或者Body包含表单

response.headers['location']=="https://www.example.com"

headers 中 Location 等于指定值,如果 Location 不存在,该表达式返回 false

'docker-distribution-api-version' in response.headers && response.headers['docker-distribution-api-version'].contains('registry/2.0')

headers 中包含 docker-distribution-api-version 并且 value 包含指定字符串,如果不判断 in,后续的 contains 会出错。

response.body.bcontains(bytes(response.url.path))

body 中包含 url 的 path

每一个expression表达式都会返回一个bool结果,然后在存在&&或||的时候,与其他的expression表达式做运算,最终出一个结果,最终结果如果为true,则代表这个规则命中。

set关键字的使用

该字段主要是用来定义一些在接下来的规则中会使用到的一些全局变量,比如随机数,反连平台等。 set: map[string]interface{}

set:
    a: 1
    num: randonInt(1000, 2000)      # 1543
    rstr: randomLowercase(10)       # asdbeuyekp
    reverse: newReverse()
    reverseURL: reverse.url

payload关键词的使用

该字段用于定义多个 payload,来实现发送不同 payload 的效果。 该字段结构如下

payloads:
  continue: false
  payloads:
    ping:
      cmd: r"ping test.com"
    curl:
      cmd: r"curl test.com"

注:

1.只支持罗列 payload, 目前不考虑支持文件或者复杂排列组合等情况,每个 payload 中的 key 必须严格一致

2.循环 payload 然后把当前 payload 加在 set 之后,组成新的 set 执行

set:
    a: 1
payloads:
    - b: a
    - b: b

实际运行结果相当于,运行两遍

第一遍:

set:
    a: 1
    b: a

第二遍:

set:
    a: 1
    b: b

output与search的组合使用

1获取返回的token
2获取上传文件后返回的文件路径
3总结:获取所需要的参数

返回包

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8;

{"pbx":"COMpact 4000","pbxType":20,"pbxId":0,"serial":"4107646840","date":"05.07.2022","macaddr":"00:01:01:01:01:01"}

匹配

rules:
    r1:
        request:
            method: GET
            path: "/about_state"
        expression: response.status == 200 && r'serial.*?\d+.,'.bmatches(response.body) && r'date.+?20[0-9][0-9].,'.bmatches(response.body)
        output:
            search: '"serial\":\"(?P<serial>.+?)\",\"date".bsubmatch(response.body)'
            serial: search["serial"]        // 4107646840
            search1: '"date\":\"(?P<date>.+?)\",\"macaddr".bsubmatch(response.body)'
            date: search1["date"]           // 05.07.2022
            HA: serial + "r2d2" + date      // 4107646840r2d205.07.2022
            password: substr(md5(HA),0,7)   // e3048ad

detail的编写

该字段用于定义一些和脚本相关的信息。

detail:
    author: name(link)
    links:
        - http://example.com

POC编写指南第三期 - 哔哩哔哩

bboywxy8340
关注
XrayPOC插件
weixin_30872337的博客
09-05 2336
漏洞环境 https://www.vulnhub.com/ https://github.com/vulhub/vulhub https://github.com/QAX-A-Team/WeblogicEnvironment 启用、关闭命令 # 启用环境 docker-compose up -d 环境关闭 docker-compose down 查看 WEB 应用容器 root@...
干货 - Xray POC编写指南,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
03-31 805
还在为Xray POC编写头疼?别慌!这篇“食用指南”带你,轻松编写属于你的专属POC!🚀。
php写poc,xrayPOC踩坑
weixin_30983965的博客
03-21 398
静态文件目录不一定是static。只考虑了linux的情况,如果是 windows 呢,能读取某些应用自己的源码吗。实际环境参数不一定是id,thinkphp 不适合使用 poc 来写NodeJS_path-validation_CVE-2017-14849.yml name: NodeJS_path-validation_CVE-2017-14849 rules: - method: GET...
xray-poc-generation::dna: 辅助生成 XRay YAML POC
05-06
:dna: XRay POC Generation XRay安全评估 > POC辅助生成工具。 关于XRay: 访问 即可直接使用。 :laptop: 本地运行 本地运行XRay POC Generation: git clone https://github.com/phith0n/xray-poc-generation cd xray-poc-generation yarn yarn build 编译完成后,Web目录在build/文件夹。
goby/xray批量导入自定义poc(附2024红队POC
qq_59468567的博客
09-09 5698
找到include_poc参数,修改为include_poc: [poc-xray/*]xray批量导入自定义POC(附2024最新xrayPOC)直接把poc解压到xray.exe同一目录下。然后修改config.yaml文件。然后启动xray看效果。在这个路径下解压poc
写一个POC的过程思路参考
2301_80127209的博客
12-27 317
我这里之前犯了一个错误,就是参数name中的p不是大写P而是小写p,这就会导致验证不成功,可以将自己写的poc代码与其他POC进行对比,用vscode的对比功能查看body中参数是否有缺失和大小写问题,我是在改了很多次代码后,才想起来是不是参数没设置对。这里采用YAML编写,因为有一套对POC编写的指南供参考,主要是方便新人查找,省去到处翻花费的时间成本,相对来说会方便些,建议看过之后再进行编写编写一个POC还能增加自己的技能和对漏洞深入理解。
java安卓辅助源码-PentestLog:记下github中的一些项目
06-04
java安卓辅助源码 收集一些常用的工具及网站(武器库~) 其他收录平台或项目传送门: 开源扫描器收录地址: ...长亭X-ray漏洞扫描器: 美杜莎漏扫: w13scan: Burp插件搭配被动式漏扫使用: 应急响应 应
Xray使用的经验分享(xray+burp的使用[套娃测试])
AerYinan的博客
12-23 1万+
xray是一种功能强大的扫描工具。xray 社区版是长亭科技推出的免费白帽子工具平台,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。有趣的功能自己的安全评估工具,,支持常见的web安全问题扫描和自定义po
网络安全工具大合集
dengliang7440的博客
03-29 3124
导语:这里有一份很棒的黑客工具列表可以提供给黑客,渗透测试人员,安全研究人员。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更新。这里有一份很棒的黑客工具列表可以提供给黑客,渗透测试人员,安全研究人员。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更新。你可以通过以下命令检查所有的工具:git clone --recursi...
网络安全学习中的工具
gugonggugong的博客
12-06 3421
1> Nmap Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。 2> P0f p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情...
xray:一种完善的安全评估工具,支持常见的网络安全问题扫描和自定义poc |使用之前初级先阅读文档
02-05
欢迎使用X射线 :waving_hand: 一款功能强大的安全评估工具 :sparkles: 演示版 :house: :down_arrow_selector: 注意:xray不开源,直接下载构建的二进制文件即可,仓库内部主要为社区贡献的poc,每次xray发布将自动打包。 :rocket:快速使用 在使用之前,请务必阅读并同意文件中的条款,否则请勿安装本工具。 使用基础爬虫爬取或爬虫爬取的链接进行细分扫描 xray webscan --basic-crawler http://example.com --html-output vuln.html 使用HTTP代理进行被动扫描 xray webscan --listen 127.0.0.1:7777 --html-output proxy.
Golang优秀开源项目汇总, 10大流行Go语言开源项目, golang 开源项目全集(golang/go/wiki/Projects), GitHub上优秀的Go开源项目...
weixin_34245082的博客
05-08 6747
  Golang优秀开源项目汇总(持续更新。。。)我把这个汇总放在github上了, 后面更新也会在github上更新。 https://github.com/hackstoic/golang-open-source-projects  。 欢迎fork, star , watch, 提issue。    资料参考来源:http://studygolang.com/projects 监控...
Xray-强大的漏洞扫描工具
qq_59923059的博客
08-07 8489
xray 支持用户使用 YAML 编写 POC。YAML 格式的 “值” 无需使用双引号包裹,特殊字符无需转义YAML 格式使内容更加可读YAML 中可以使用注释rules:生成器将 POC 保存到 YAML 文件后使用--poc🚩总结🚩:xray扫描器解放了我的双手.好好学习SRC天天有.我的公众号.各位大佬们.关注一下.在下感激不尽....
xray使用入门
2301_80127209的博客
04-25 6343
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版xray目前支持检测的漏洞:XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
xray插件改良2-poc-yaml-dedecms-cve-2018-6910
HWHXY的博客
03-23 1468
xray插件改良2-poc-yaml-dedecms-cve-2018-6910 前言 poc-yaml-dedecms-cve-2018-6910原始的yml dedecms-cve-2018-6910.yml name: poc-yaml-dedecms-cve-2018-6910 rules: - method: GET path: /include/downmix.inc.php expression: | response.status == 200 &&a
安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
渗透测试常用术语总结
xv66666的博客
07-02 2710
想象自己是一个特工,你的目标是监控一个重要的人,有一天你怀疑目标家里的窗子可能没有关,于是你上前推了推,结果推开了,这是一个POC。之后你回去了,开始准备第二天的渗透计划,第二天你通过同样的漏洞渗透进了它家,仔细查看了所有的重要文件,离开时还安装了一个隐蔽的录音笔,这一天你所做的就是一个EXP,你在他家所做的就是不同的Payload,就把录音笔当作Shellcode吧!
XRay安装使用以及Burp联动
柠鹿的轨迹
11-09 2万+
0x00 前言 XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成…… XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器! 可以想象,当Burp与XRay联动时,必将碰撞出不一样的火花! 0x01 下载XRay ...
CVE-2024-55591 的poc 编写
02-16
对于CVE-2024-55591漏洞的概念验证(PoC编写方法,通常涉及以下几个方面来构建一个安全且有效的演示环境: ### 识别目标系统和漏洞 了解特定版本的目标应用程序中存在的具体问题至关重要。针对 CVE-2024-55591 的研究应当基于官方发布的公告或可信的安全顾问报告中的描述[^1]。 ### 设计测试框架 为了确保开发人员的良好体验并遵循良好的编码实践,可以采用模块化设计思路。将不同功能分割成独立的文件有助于提高代码可读性和维护性。例如,在处理 C 或 C++ 类似语言时,头文件 (.h) 中定义公开接口,实现细节则放置于对应的源文件 (.c 或 .cpp),并且内部使用的辅助函数声明为 `static` 关键字修饰以限制其可见范围。 ```c // example.h #ifndef EXAMPLE_H_ #define EXAMPLE_H_ void public_function(); // 导出给外部调用者使用的函数原型 #endif /* EXAMPLE_H_ */ ``` ```c // example.c #include "example.h" static void helper_function() { // 实现仅限本文件内访问的帮助函数逻辑... } void public_function() { // 使用 helper_function 完成功能... } ``` ### 构建与部署 当涉及到自动化工具链如 Apache Airflow 来调度任务流程时,则需按照平台指南操作。比如创建一个新的 Python 脚本来表示工作流,并将其置于指定位置以便引擎能够发现它[^2]。 ```python from airflow import DAG from datetime import datetime, timedelta default_args = { 'owner': 'airflow', 'depends_on_past': False, 'email_on_failure': False, 'email_on_retry': False, 'retries': 1, 'retry_delay': timedelta(minutes=5), } with DAG('vulnerability_test', default_args=default_args, schedule_interval=None, start_date=datetime(2023, 1, 1)) as dag: # Define your tasks here... ``` 请注意,实际编写 PoC 应始终遵守道德准则以及法律法规的要求,不得用于非法目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值