- 该项目仅供授权下使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络安全法》!!!
- 由于是短时间熬夜所写,头脑昏昏,料想会有不少错误,欢迎指出,我的联系方式在下方已经贴出,不胜感激!
- 计划七月份每天增加一个漏洞利用模块,所以欢迎
star/fork,您的每一个star和fork都是我前进的动力!
>V1.6(删除了nday利用集合中的日志记录模块,增加了【F5 BIG-IP 远程代码执行漏洞、Harbor 未授权创建管理员漏洞、DVR 登录绕过漏洞(CVE-2018-9995)】的一键梭哈模块。【2022.6.20】)
>V1.5(删除了shiro一键梭哈模块,增加了【SonicWall SSL-VPN 远程命令执行】的一键梭哈模块;录制使用视频,并且上传到了B站:https://www.bilibili.com/video/bv1Dv4y137Lu 【2022.6.11】)
>V1.4(增加了【shiro、用友NC RCE、用友U8 OA sql注入、DedeCMS v5.7.87 SQL注入 CVE-2022-23337】的一键梭哈模块。【2022.6.6白天-6.7凌晨】)
-
我们想批量利用
向日葵RCE漏洞,于是我们base64加密语句body="Verification failure",得到:Ym9keT0iVmVyaWZpY2F0aW9uIGZhaWx1cmUi。 -
我们选取获取前
100条: -
直接点击
向日葵RCE一把梭: -
可以看到软件开始批量检测了(可能会出现短时间的空白,请耐心等待程序运行):
软件的线程数是
100,可以自己对exp文件下的xrk_rce.py的第58行进行调整。(速度还是很快的) -
删除文件夹下
urls.txt、修正后的url.txt、host.txt这三个文件,准备使用其他一键梭哈模块:
我已经录制了使用视频,并且上传到了B站:https://www.bilibili.com/video/bv1Dv4y137Lu
-
git clone https://github.com/W01fh4cker/Serein.git cd Serein pip3 install -r requirements.txt python3 Serein.py
-
点击左上角的
软件配置配置fofa的email和key(注意不是密码,而是https://fofa.info/personalData下方的API KEY),然后就可以愉快地使用fofa搜索啦。 注意:必须是fofa普通/高级/企业账号,因为fofa注册会员调用api需要消耗f币,如果您是注册会员请确保您有f币,否则无法查询! -
搜集完成之后,软件的同级目录下会生成
urls.txt、修正后的url.txt、host.txt,分别保存采集的原始url、添加了http/https头的url、仅网站IP。 -
完成一次扫描任务后,若要开启下一次扫描,请删除文件夹下
urls.txt、修正后的url.txt、host.txt这三个文件。 -
如果您在使用中遇到任何问题、有活泼的想法,您有三种途径与我反馈交流:
mailto:sharecat2022@gmail.com
https://github.com/W01fh4cker/Serein/issues
添加微信:W01fh4cker- 由于最近临近期末,时间很紧,所以匆忙写了一些
nday的一键梭哈模块,考完试之后会加上用友OA等一大批OA、DeDeCMS等一大批CMS的的一键梭哈模块。目前预留的位置是51个,短时间看应该是够用的。 - 完善权重查询模块。当我们一键梭哈完之后,想提交补天等漏洞平台的时候,由于平台有权重要求,所以要对含有漏洞的网站需要进行
ip-->domain,然后反查域名,利用多个查询接口进行权重查询,筛选出符合权重要求的网站,导出出来。 - (优先)添加其他的搜索引擎,如:
Censys、Zoomeye、Quake等。 - 其他的暂时还没想到,如果小伙伴们有什么想法可以直接在
issues里面提出
