Erlik：一个包含了针对SOAP的漏洞学习和研究平台

Erlik：一个包含了针对SOAP的漏洞学习和研究平台
2022-9-10 08:56:31 Author: FreeBuf(查看原文) 阅读量:14 收藏

关于Erlik：Vulnerable-Soap-Service

Erlik（Vulnerable-Soap-Service）是一个包含了针对SOAP的漏洞学习和研究平台，该项目包含了大量故意留下的SOAP安全漏洞，可以帮助广大研究人员更好地研究和学习Web渗透测试技术。

Erlik同时是一个存在漏洞的SOAP Web服务实验环境，已在Kali 2022.1版本系统上进行过完整测试。

功能介绍

当前版本的Erlik包含了下列漏洞：

LFI本地文件包含漏洞
SQL注入漏洞
信息披露漏洞
命令注入漏洞
暴力破解漏洞
反序列化漏洞

工具安装

由于该工具基于Python开发，因此我们首先需要在本地设备上安装并配置好Python环境。接下来，使用下列命令将该项目源码克隆至本地：


git clone https://github.com/anil-yelken/Vulnerable-Soap-Service.git
（向右滑动、查看更多）

接下来，切换到项目目录，并通过pip3命令和项目提供的requirements.txt文件安装该工具所需的依赖组件：


cd Vulnerable-Soap-Servicesudo pip3 install requirements.txt

工具使用


sudo python3 vulnerable_soap.py

漏洞利用演示

LFI本地文件包含漏洞

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/lfi.py

SQL注入漏洞

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/sqli.py

信息披露漏洞

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/get_logs_information_disclosure.py

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/get_data_information_disclosure.py

命令注入漏洞

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/commandi.py

暴力破解漏洞

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/brute.py

反序列化漏洞

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/deserialization_socket.py

参考代码：https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/deserialization_requests.py

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Erlik：https://github.com/anil-yelken/Vulnerable-Soap-Service

精彩推荐

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651192860&idx=4&sn=e75331a47472b1217ca2ad30918a4a89&chksm=bd1e6c978a69e58159bb170ef7a25414b6cbdebb665d85c1ea9702d8cae6041f321c752392c1#rd
如有侵权请联系:admin#unsafe.sh