VTest - 漏洞测试辅助系统

  • 内容
  • 相关

用于辅助安全工程师漏洞挖掘、测试、复现,集合了mock、httplog、dns tools、xss,可用于测试各类无回显、无法直观判断或特定场景下的漏洞,例如:存储型xss、ssrf、远程代码执行/注入、远程命令执行/注入、文件包含等。


项目特点

使用方便,集成常用的辅助功能
零部署难度,python环境中直接运行即可

功能介绍

Mock

自定义http请求返回包,例如以下场景:

定义返回内容为php代码,用于测试php远程文件包含漏洞

定义301/302跳转,测试SSRF漏洞


1.png

DNS Tools

用于辅助判断无法回显的漏洞以及特殊场景下的使用,有如下三种使用方式

vultest.0dayhack.com,任意多级的子域名解析均会记录显示,可用于各种无回显漏洞的判断、漏洞分析、数据回传
10.100.11.22.0dayhack.com 解析结果为 10.100.11.22,用于特殊的漏洞场景的利用(例如某个ssrf限制了域名且判断存在问题,用这个可以方便的遍历内网资源 )或限制测试

66.123.11.11.10.100.11.22.0dayhack.com 首次解析为66.123.11.11,第二次则解析为10.100.11.22,可用于DNS rebinding的漏洞测试


2.png

HTTP Log

记录任意HTTP请求详细包,可用于各种无回显漏洞的判断、漏洞分析、信息收集、数据回传

3.png


XSS

用于测试储存型xss漏洞
4.png

系统部署

# 安装依赖库
pip install flask flask-httpauth sqlite3
# 参数说明:
# -d 你的域名,需要指向ns记录到此服务器上,具体流程参考其他dnslog类的系统
# -h 对外服务的IP,可不填,默认会自动获取外网IP
# -p 系统登录密码,默认密码为admin,用户名固定为admin
python vtest.py -d www.0dayhack.com -p admin333



其他说明

本系统仅以记录日志和提供返回包自定义功能,辅助于开发和安全工程师进行相关判断,不存在也不会发起任何攻击请求。


项目地址:https://github.com/opensec-cn/vtest


本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:VTest - 漏洞测试辅助系统 - https://www.0dayhack.com/post-872.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

2条评论
  1. avatar

    351180100 Lv.1 Chrome 70.0.3538.25 Chrome 70.0.3538.25 Windows 7 x64 Edition Windows 7 x64 Edition 回复

    颓废哥,还有千站云蜘蛛池的源码吗?之前你发的不能下载了   看到可以回复下吗?

    广东省广州市 电信

    1. avatar

      知识共享网 Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

      会技术的就是厉害

      河北省沧州市 联通