第102天:漏洞发现-漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结_笔记
一、漏洞发现—漏扫项目篇00:15
1. 漏洞扫描工具分类01:50
- 综合类工具:
- BurpSuite:集成化Web应用测试平台,共享请求处理机制,支持HTTP消息处理、代理、日志等功能
- Xray:社区版漏洞扫描工具,支持主动/被动扫描,跨平台运行(Windows/Linux/macOS)
- AWVS:商业Web漏洞扫描器,可检测SQL注入、XSS等漏洞,具备图形化界面和报告生成功能
- Goby:自动化攻击面梳理工具,支持靶场攻防演练和横向渗透
- 特征类工具:
- Nuclei:基于YAML模板的定制化扫描器,支持多协议检测,拥有上万POC库
- Afrog:可定制PoC的漏洞挖掘工具,覆盖CVE/CNVD/默认口令等漏洞类型
- Yakit:单兵安全平台,集成端口扫描、MITM劫持等渗透测试功能
2. POC开发核心要点
1)开发方式对比
- 人工编写:
- 优势:可直接复用Nuclei现有模板(上万个POC资源)
- 方法:掌握YAML语法即可快速开发
- GPT辅助开发:
- 直接问答模式:生成代码需二次修改,精度较低
- API集成模式:需解决网络问题+申请API Key+开通会员,适合专业开发场景
2)Yaml语法要点03:50
- 匹配规则:
- 支持正则表达式匹配响应内容
- 可提取HTTP头/响应体关键字段
- 交互控制:
- 定义请求重试机制
- 设置超时阈值
- 协议支持:
- 覆盖HTTP/TCP/DNS/FILE等协议检测
3. 主流工具详解
- Nuclei优势:
- 模板数量:社区维护模板超万个
- 开发效率:YAML语法比传统编程语言更高效
- 扩展性:Go语言开发支持自定义模块
- AWVS特色:
- 企业级漏洞管理功能
- 自动生成合规性报告
- Xray特性:
- 内置盲打平台
- 支持流量镜像分析
4. 演示案例04:08
1)YAML语法基础
- 基本语法规则
- 层级关系:使用缩进表示层级关系,不同层级的元素需要左侧对齐
- 缩进规则:
- 不允许使用Tab键缩进
- 只允许使用空格缩进
- 同级元素缩进空格数必须一致(如2空格或4空格)
- 对齐要求:相同层级的元素必须左侧对齐
- 开发环境配置
- 工具准备:
- VSCode编辑器
- YAML语言支持插件
- 参考资料:
- 官方文档:https://docs.nuclei.sh/template-guide/introduction
- 中文教程:CSDN相关文章
2)Nuclei-Poc模板结构
- 五部分核心结构
- ID:漏洞的唯一标识编号
- Info:包含漏洞的详细信息:
- 名称(name)
- 作者(author)
- 严重性(severity)
- 描述(description)
- 参考(reference)
- 标签(tags)
- 请求(Request):根据漏洞类型选择协议:
- HTTP请求
- 文件操作
- TCP连接等
- 匹配器(Matchers):用于验证漏洞存在的结果匹配
- 提取器(Extractors):用于从响应中提取特定信息
- 匹配器类型
- status:HTTP状态码比较
- size:响应内容长度比较
- word:关键词匹配
- regex:正则表达式匹配
- binary:二进制数据匹配
- dsl:领域特定语言匹配
3)开发实践要点
- 模板编写流程
- 步骤1:创建独立编号
- 步骤2:填写详细信息
- 步骤3:编写协议流程
- 步骤4:设计结果匹配模式
- 实际案例解析
- 案例:MinIO集群模式信息泄露漏洞(CVE-2023-28432)
- 关键字段:
4)注意事项
- 缩进处理:必须使用空格而非Tab键
- 层级对齐:同级元素必须严格对齐
- 字段格式:关键字段如id、info等必须正确填写
- 结果验证:匹配器和提取器需要精心设计以确保准确性
5)应用案例16:14
- 例题:Yaml模板编写
- 模板结构:
- id:不得包含空格,用于唯一标识POC
- info块:包含名称、作者、严重性、描述、参考和标签等信息
- 请求块:定义HTTP/file/tcp等请求方式
- 匹配器:用于验证漏洞存在的条件
- 提取器:从响应中提取特定信息
- 编写要点:
- 使用空格缩进表示层级关系,禁止使用Tab键
- 相同层级元素必须左侧对齐
- info块中的信息可根据需要选择性填写,非必填项
- 例题:匹配器类型21:53
- 主要类型:
- status:匹配状态码
- size:匹配内容长度
- word:匹配特定字符串
- regex:使用正则表达式匹配
- binary:匹配二进制数据
- dsl:使用DSL表达式匹配
- 匹配条件:
- AND:所有条件必须同时满足
- OR:任一条件满足即可
- 默认使用AND条件
- 例题:提取器类型25:28
- 主要类型:
- regex:使用正则表达式提取
- kval:从响应头/Cookie中提取键值对
- json:从JSON响应中提取数据
- xpath:从HTML中基于xpath提取
- dsl:使用DSL表达式提取
- 应用场景:
- 当返回结果包含动态内容时使用regex
- 需要提取特定头信息时使用kval
- 处理JSON格式响应时使用json提取器
- 开发流程总结29:53
- 例题:poc模板套用30:27
- 步骤:
- 复制现有模板作为基础
- 修改id字段确保唯一性
- 更新info块中的相关信息
- 编写或修改请求部分
- 配置匹配器或提取器
- 优势:
- 避免从头编写,提高效率
- 确保格式规范
- 减少出错概率
- 例题:poc模板应用32:03
案例1:CVE-2023-28432:
类型:信息泄露漏洞
检测方式:发送POST请求检查返回内容
匹配条件:检查响应中是否包含
MINIO_SECRET_KEYMINIO_SECRET_KEYMINIO_SECRET_KEY
和
MINIO_ROOT_PASSWORDMINIO_ROOT_PASSWORDMINIO_ROOT_PASSWORD
案例2:CVE-2022-30525:
- 类型:远程命令注入
- 检测方式:交互式验证
- 特点:需要更复杂的匹配逻辑
- 例题:poc模板套用30:27
二、漏洞发现35:06
1. 创建Nuclei模板文件
1)模板文件结构
- metadata部分:
- id: 漏洞唯一标识符(如CVE编号)
- info: 包含漏洞名称、作者、严重等级等基本信息
- tags: 用于分类的关键词标签(如wpscan、wordpress等)
- http请求部分:
- raw: 包含HTTP请求原始数据
- method: 请求方法(GET/POST等)
- path: 请求路径(如/wp-admin/admin.php)
- headers: 请求头信息(如Content-Type等)
2)模板创建方法
- 创建步骤:
- 在nuclei-templates目录下新建YAML文件
- 复制现有模板内容作为基础
- 修改关键字段(id、info、http请求等)
- 注意事项:
- 文件编码应为UTF-8
- 缩进使用2个空格(非Tab)
- 严格遵循YAML语法格式
3)漏洞检测逻辑
- 匹配器配置:
- matchers-condition: 设置匹配条件关系(and/or)
- 典型检测条件:
- 响应头包含text/html
- 响应体包含XSS payload特征
- 状态码为特定值
- 认证请求:
- 需要先发送登录请求获取cookie
- 使用cookie-reuse: true复用会话
4)模板修改要点36:40
- 关键修改项:
- 更新CVE编号和漏洞名称
- 调整HTTP请求路径和参数
- 修改匹配器中的特征字符串
- 更新reference中的参考链接
- 调试技巧:
- 使用max-request: 2限制请求次数
- 先测试单条请求再组合完整POC
2. 修改poc36:34
1)MinIO集群模式信息泄露漏洞(CVE-2023-28432)分析
漏洞描述: MinIO是一个开源对象存储系统。在其RELEASE.2023-03-20T20-16-18Z版本(不含)以前,集群模式部署下存在一处信息泄露漏洞。
攻击方式: 攻击者可以通过发送一个POST数据包获取进程所有的环境变量,其中包含敏感信息如账号密码
MINIO_SECRET_KEYMINIO_SECRET_KEYMINIO_SECRET_KEY
和
MINIO_ROOT_PASSWORDMINIO_ROOT_PASSWORDMINIO_ROOT_PASSWORD
。
参考链接: https://github.com/vulhub/vulhub/blob/master/minio/CVE-2023-28432/README.zh-cn.md
漏洞详细信息填写37:10
- 漏洞编号: CVE-2023-28432
- 漏洞名称: MinIO集群模式信息泄露漏洞
- 作者: xiaodisec
- 严重程度: medium
- 修复建议: 升级到RELEASE.2023-03-20T20-16-18Z或更高版本
PoC开发要点
- 开发步骤:
- 创建独立编号
- 填入详细信息
- 提交协议流程编写
- 结果匹配模式判断
- 结果提取模式判断
- 标签设置: 建议使用"minio"、“cve”、"cve2023"等关键词进行标记,便于后续归类总结
漏洞评分信息
- CVSS评分: 6.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
- CWE分类: CWE-79
- EPSS评分: 0.00133 (百分位0.47722)
参考资源
- 主要参考:
- https://wpscan.com/vulnerability/7142a538-7c3d-4dd0-bd2c-cbd2efaf53c5
- https://plugins.trac.wordpress.org/changeset/2661008
- 补充说明: 评分信息可根据实际需求选择性填写,但参考链接应确保准确性和权威性
2)修改请求
- 请求方法修改38:03
- 方法选择:模板默认使用GET请求,但实际漏洞利用需要改为POST请求
- 修改技巧:可直接参考其他模板中的POST请求写法,无需从头构造
- 注意事项:不同模板可能有不同写法,选择最简单的一种即可
- 数据包构造方式
- 直接构造:在raw字段中完整构造HTTP请求数据包
- 分段构造:使用method、path等字段分别定义请求各部分
- 选择建议:直接构造方式更简单直观,适合初学者使用
- 请求次数控制
- 单次请求:对于只需一次请求的漏洞,可删除多余的请求配置
- 多次请求:某些漏洞需要先获取token再提交,此时需保留两次请求
- 配置方法:通过req-condition和matchers-condition控制请求流程
- 变量使用规范
- Hostname变量:使用${Hostname}动态获取目标域名
- 固定值风险:直接写死域名会导致数据包无法适配不同目标
- 其他变量:
- ${BaseURL}:包含协议和端口的基础URL
- ${Port}:目标端口号
- ${Path}:请求路径
- 匹配器配置
- 匹配内容:根据漏洞特征设置body或header中的关键字符串
- 匹配条件:
- type: word 表示关键词匹配
- part: body/header 指定匹配位置
- condition: and/or 设置多个条件的逻辑关系
- 简化原则:对于简单漏洞可只保留必要的匹配条件
3)修改匹配器41:36
- 应用案例43:17
- 例题:CVE-2023-28432漏洞利用
- 匹配器简化:当只有一个匹配条件时,可以删除多余的匹配器,仅保留匹配关键字的匹配器
- body匹配规则:
- 单个请求直接写body
- 多个请求时第二个请求写body_r,h_and_r也指第二个请求的值
- 关键字匹配:只需匹配两个特定关键字,注意引号使用(单引号或双引号)
- 状态码验证:可添加状态码为200的验证条件,增强匹配准确性
- 逻辑运算符:
- and:两个条件都必须满足
- or:只需满足其中一个条件
- 测试验证:
- 修改匹配关键字测试正确性
- 通过改变状态码验证逻辑条件
- 删除匹配器后应无法检测到漏洞
- 例题:交互式漏洞利用50:56
- 交互式匹配原理:用于解决无数据回显的命令执行漏洞检测
- DNS交互技术:
- 让目标执行ping命令访问特定DNS地址
- 通过检测是否收到DNS请求判断漏洞存在
- 工具内置变量:使用扫描工具自带的接收器变量作为ping目标
- 与传统匹配区别:
- 不依赖固定的返回内容匹配
- 通过检测网络交互行为判断漏洞
- 应用场景:
- 命令执行无回显情况
- 需要外部网络交互验证的漏洞
- 实现方法:
- 替换POC中的DNS地址为工具内置变量
- 配置交互式匹配器检测DNS请求
- 例题:CVE-2023-28432漏洞利用
- 漏洞检测实践技巧
- POC编写要点:
- 保持简洁,删除不必要的内容
- 关键匹配条件要明确
- 合理使用逻辑运算符
- 测试验证流程:
- 基础功能测试
- 负面测试(修改为不存在的条件)
- 边界条件测试
- 逻辑条件验证
- 调试技巧:
- 逐步添加匹配条件
- 通过修改条件验证匹配逻辑
- 观察工具返回信息判断问题
- POC编写要点:
3. 插件一键生成57:05
1)模板文件创建与修改
- 模板复制方法:通过创建r点yam文件,复制粘贴模板内容进行修改
- 修改要点:
- 需要修改编号和名称信息
- 其他内容可根据需求选择性修改
- 示例中将名称改为"二零二二零",其他保持默认
2)数据包处理技巧
- 长度设置原则:
- 地址相关数据包长度不能固定,因为目标地址长度不确定
- 其他不影响的数据包可以固定长度
- 注意事项:
- 固定长度会导致地址和后续内容受限
- 必须理解每个poc的实际意义,不能随意固定长度
- 需要具备相关前置知识才能正确设置
3)变量定义与使用
- 变量定义:
- 使用payload或小迪作为变量名
- 格式示例:小迪 = ‘payload内容’
- 执行命令处理:
- 将需要改变的内容定义为变量
- 使用引号包裹变量值
- 示例中采用拼接地址的方式
4)匹配器配置
- DNS匹配设置:
- 可直接套用现有模板
- 无特殊条件时可暂停某些配置
- APP相关配置可选择性添加
- 响应检测:
- 通过DNS请求判断漏洞存在
- 使用模板可简化配置过程
5)检测与调试
- 检测流程:
- 先单个目标测试验证脚本正确性
- 确认存在漏洞的目标应能被检测到
- 常见问题排查:
- 检查请求包和返回匹配配置
- 变量命名需保持一致
- 注意特殊符号如冒号的完整性
- 空格和编码格式可能影响检测结果
6)批量检测实施
- 批量检测方法:
- 使用r点PM配合目标列表文件
- 可检测大量目标并输出结果
- 结果验证:
- 对检测出的目标进行实际访问验证
- 确保检测结果的准确性
7)插件安装与使用
- 插件获取方式:
- 通过官方商店安装(新版本支持)
- 或从GitHub下载后手动导入
- 配置要点:
- 只需配置nuc内网文件路径
- 启用后保存即可使用
- 使用优势:
- 简化poc编写过程
- 适合基础较弱的用户
- 但仍需理解基本原理
4. 插件使用01:12:15
1)漏洞验证与POC模板生成01:16:10
- 漏洞浮现流程
- 抓包方法:直接使用抓包工具获取目标地址请求包,复制地址到工具中刷新即可捕获完整数据包
- 端口修改要点:必须同步修改请求地址和发包位置的端口号(如9000端口),单处修改会导致失败
- 响应验证:通过检查响应包中特定字段(如"word"、"mini user"等)判断漏洞存在性
- 插件自动生成模板
- 操作路径:使用插件时选择"拓展→武装裁剪→创建模板"即可自动生成基础模板
- 模板自定义:
- 需手动填写模板名称、ID等元数据
- 自动生成路径和检测逻辑框架
- 支持添加额外检测条件(如固定响应匹配)
- 响应匹配技巧:需将成功特征固定为响应条件,否则会出现"no secret"未匹配情况
- 模板应用与测试
- 测试流程:生成后立即运行测试,观察是否返回预期漏洞特征
- 文件管理:
- 单独使用的模板需指定存放目录
- 系统集成的模板需复制到官方指定目录(如cpe归档目录)
- 重新上传后自动加载更新
2)手工漏洞验证实践01:19:12
- 验证流程
- 双重验证原则:既要验证检测脚本能跑出漏洞,又要手工复现确认漏洞真实存在
- 网络环境处理:
- 国外目标站点可能响应缓慢
- 可尝试代理加速(如小猫咪代理)
- 需排除本地网络带宽限制因素
- 特殊场景处理
- 交互式漏洞验证:
- 无法使用标准模板生成器
- 需手动编写完整检测逻辑
- 示例:通过TCP建立连接验证端口类漏洞
- 协议适配:
- HTTP协议使用request模块
- 非HTTP协议需改用TCP等底层协议
- 匹配规则需对应协议特征
- 交互式漏洞验证:
- 多工具对比
- xray特性:
- 采用name/rules/request结构
- 社区贡献机制(提交POC可获奖励)
- 匹配规则包含状态码和内容双重验证
- yaklit特性:
- 包含查检和POC管理双模块
- 语法复杂度较高但功能更完善
- 通用编写原则:
- 逻辑结构可跨工具复用
- 需根据工具文档调整语法细节
- 90%漏洞可通过HTTP协议检测
- xray特性:
- 开发能力要求
- 必须掌握:
- YAML语法基础
- HTTP协议交互原理
- 正则表达式匹配
- 进阶需求:
- Socket网络编程(用于非HTTP漏洞)
- 多语言脚本编写能力(Python等)
- 协议解码/编码技术
- 必须掌握:
三、知识小结
| 知识点 | 核心内容 | 关键工具/技术 | 难度系数 |
| YAML语法基础 | 大小写敏感/空格缩进规则/层次结构表示 | VS Code+YAML插件 | ⭐⭐ |
| POC开发框架 | ID标识/Info描述/请求协议/匹配器/提取器五要素 | Nuclei模板结构 | ⭐⭐⭐ |
| HTTP漏洞检测 | POST请求构造/状态码匹配/响应体关键词检测 | BurpSuite抓包分析 | ⭐⭐⭐⭐ |
| DNS交互验证 | 无回显漏洞的DNSLOG验证技术 | Interactsh服务集成 | ⭐⭐⭐⭐ |
| 多工具语法对比 | Nuclei/Xray/Yakit的POC结构差异 | 官方文档对照 | ⭐⭐⭐⭐ |
| AI辅助开发 | GPT直接问答 vs API集成开发模式 | OpenAI库调用 | ⭐⭐⭐⭐⭐ |
| 插件化开发 | 巴布图模板生成器使用流程 | 商店插件安装/包导入 | ⭐⭐ |
| 实战案例1 | CVE-2023漏洞检测:mini_user关键词匹配 | 状态码200+双条件AND验证 | ⭐⭐⭐ |
| 实战案例2 | 命令执行漏洞:DNS交互式验证技术 | Payload变量替换/Interactsh回调 | ⭐⭐⭐⭐ |
| 环境配置要点 | VS Code必备插件:中文包/YAML语法校验 | 插件市场安装 | ⭐ |
