3.1_2024ctf青少年比赛部分web题

Gaaidou

 关注

阅读 36

2024-03-05

第74天 漏洞发现-Web框架中间件插件&BurpSuite&浏览器&被动&主动探针

在这里插入图片描述

最近几天都是演示工具如何使用如:AWVS、Nessus、nexpose等综合性利用工具。
Burp插件和漏扫工具的区别
在这里插入图片描述

知识点:

1、浏览器插件&BurpSuite插件
2、Hack-Tools&pentestkit&fofa view等
3、Fiora&Spring&Fastison&Shiro&Log4等
市面上有很多漏扫系统工具蜘本,课程讲到的基本都是目前主流推荐的优秀项目!
具体项目:Burpsuite,Awvs,Xray,Goby,Afrog,Vulmap,Pocassist,Nessus,
Nuclei,Pentestkit,Nexpose,BP(HaE,ShiroScan.FastJsonScan,Log4j2Scan).

章节点:

1、漏洞发现-Web&框架层面
2、漏洞发现服务&中间件层面
3、漏洞发现-APP&小程序层面
4、漏洞发现PC操作系统层面

演示案例:

浏览器插件-辅助&资产&漏洞库-Hack-Tools&Fofa view&Pentestkit
BurpSuite插件-被动&特定扫描-Fiora&Spring&Fastison&Shiro&Log4j

浏览器插件-辅助&资产&漏洞库-Hack.Tools&Fofa view&Pentestkit

资产:https://github.com/fofapro/fofa_view
信息收集 需要fofa为登录状态
在这里插入图片描述

辅助:https://github.com/LasCc/Hack-Tools
工具箱包含有 反弹shell、系统命令、文件包含语句等
在这里插入图片描述

漏洞库:https://github.com/DenisPodgurskii/pentestkit
信息收集、漏洞探测、waf识别
在这里插入图片描述

BurpSuite插件-被动&特定扫描-Fiora&Spring&Fastjson&Shiro&Log4

https://github.com/bit4woo/Fiora
功能:联动nuclei进行单个或多个poc测试
在这里插入图片描述

https://github.com/metaStor/SpringScan
SpringScan 漏洞检测 Burp插件
https://github.com/Maskhe/FastjsonScan
在这里插入图片描述
在这里插入图片描述

https://github.com/bigsizeme/Log4j-check
被动lg4j扫描 支持RC1绕过 log4J burp被扫插件、CVE-2021-44228、支持RC1绕过、支持json数据类型、支持dnslog.cn和burp内置DNS、可配合JNDIExploit生成payload
在这里插入图片描述

https://github.com/pmiaowu/BurpShiroPassiveScan
一款基于BurpSuite的被动式shiro检测插件
在这里插入图片描述

https://github.com/projectdiscovery/nuclei-burp-plugin

相关推荐

青少年CTF-WEB-2048

九月的栩 96 0 0

青少年CTF-qsnctf-Web-Queen

ITWYY 49 0 0

青少年CTF-qsnctf-Web-eval

路西法阁下 37 0 0

【Web】青少年CTF擂台挑战赛 2024 #Round 1 wp

心智的年轮 35 0 0

青少年CTF-qsnctf-Web-PingMe02

hoohack 35 0 0

2024 H&N CTF Web&Misc 部分 wp

蓝哆啦呀 37 0 0

2024年6月 青少年python三级等级考试真题试卷

小禹说财 44 0 0

蓝桥杯ctf2024 部分wp

八卦城的酒 35 0 0

青少年CTF-qsnctf-Web-include01&include02(多种方法-知识点较多-建议收藏!)

boomwu 42 0 0

2024腾龙杯 部分web

婉殇成长笔记 12 0 0

精彩评论(0)

0 0 举报