一、快速编写poc工具
为了方便打点找到了一个在线编写poc的网站:https://poc.xray.cool/ 可配合xpoc批量利用。
在线版(个人觉得本地版好用)
本地版(可验证是否有效):
① windows下载链接: https://ctstack-oss.oss-cn-beijing.aliyuncs.com/tool/c39865a939edf5d7f4a37017cf0e4614.exe
② macos下载链接:
https://ctstack-oss.oss-cn-beijing.aliyuncs.com/tool/1fbc54ededa328a0c8324f4143fade72.zip
可点击立即发射验证poc是否有效,推荐本地版。
二、xpoc的使用
Xpoc 是长亭发布的 poc 扫描工具,
① 下载地址:
https://github.com/chaitin/xpoc
② 使用教程:
将编写好的poc保存至本地为yaml后缀文件
打开命令行输入:
xpoc -r ./(指定poc).yaml ip.txt
出现红色内容存在漏洞
三、漏洞验证-蚁剑上线
测试的漏洞为文件上传类型,使用蚁剑连接成功
