工具推荐——Serein (SRC挖掘神器)
2022-8-7 21:11:25 Author: 浪飒sec(查看原文) 阅读量:84 收藏

前言

一款图形化、批量采集url、批量对采集的url进行各种nday检测的工具。可用于src挖掘、cnvd挖掘、0day利用、打造自己的武器库等场景。

项目地址

https://github.com/W01fh4cker/Serein

关注浪飒sec回复Serein获取快速下载地址

最新版页面展示

利用示例

  1. 我们想批量利用向日葵RCE漏洞,于是我们base64加密语句body="Verification failure",得到:Ym9keT0iVmVyaWZpY2F0aW9uIGZhaWx1cmUi

  2. 我们选取获取前2000条(具体条数需要根据自己的会员情况来填写):

  3. 直接点击向日葵RCE一把梭

  4. 可以看到软件开始批量检测了(可能会出现短时间的空白,请耐心等待程序运行):

    软件的线程数是100,可以自己对exp文件下的xrk_rce.py的第58行进行调整。(速度还是很快的)

  5. 删除文件夹下urls.txt修正后的url.txthost.txt这三个文件,准备使用其他一键梭哈模块:

如何使用

B站视频:

https://www.bilibili.com/video/bv1Dv4y137Lu

  1. 需要python3.7~3.9(我试了没这么严格)

     git clone https://github.com/W01fh4cker/Serein.git
     cd Serein
     pip3 install -r requirements.txt
     python3 Serein.py
  2. 点击左上角的软件配置配置fofaemailkey(注意不是密码,而是https://fofa.info/personalData下方的API KEY),然后就可以愉快地使用fofa搜索啦。注意:必须是fofa普通/高级/企业账号,因为fofa注册会员调用api需要消耗f币,如果您是注册会员请确保您有f币,否则无法查询!  

  3. 搜集完成之后,软件的同级目录下会生成urls.txt修正后的url.txthost.txt,分别保存采集的原始url、添加了http/https头的url仅网站IP

  4. 完成一次扫描任务后,若要开启下一次扫描,请删除文件夹下urls.txt修正后的url.txthost.txt这三个文件。

免责声明

本公众号提供的工具仅供学习使用, 如若使用工具进行非法行为皆与本公众号无关

喜欢就点在看哦~

长按识别二维码

欢迎投稿

EMAIL:

[email protected]

博客:   

www.langsasec.cn


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1ODM1MjUxMQ==&mid=2247487109&idx=1&sn=a26cfc6dae2c8fffca3c9c05875a58dd&chksm=ea083a95dd7fb383875aa5eadf09b2e37747bd8c62efc362905f5ef67fa39970c0a34fbcb3e0#rd
如有侵权请联系:admin#unsafe.sh