POC模擬攻擊利器 —— Nuclei入門(一)


引入Nuclei的緣由

使用dependency check 發(fā)現(xiàn)的問題,需要研發(fā)人員修復(fù)宛渐,研發(fā)人員要求復(fù)現(xiàn)問題劲室!這個的確有難度不僅僅要了解cve 相關(guān)bug的具體含義侮繁,還要模擬攻擊,對于測試人員顯然要求過高赖条!憑借自己多年的各種測試工具調(diào)研經(jīng)驗失乾,直覺告訴自己,應(yīng)該有類似的工具纬乍,經(jīng)過各種技術(shù)調(diào)研選擇了Nuclei碱茁。使用Nuclei主要對cve相關(guān)問題進(jìn)行模擬,另外并不是所有的cve問題該工具都能模擬仿贬,建議大家使用前可以自行查看需要驗證的cve問題是否在nuclei的template中纽竣,如果不在,還需要自行創(chuàng)建茧泪。

Nuclei基礎(chǔ)

Nuclei是一款基于YAML語法模板的開發(fā)的定制化快速漏洞掃描器蜓氨。它使用Go語言開發(fā),具有很強的可配置性队伟、可擴展性和易用性穴吹。Nuclei使用零誤報的定制模板向目標(biāo)發(fā)送請求,同時可以對大量主機進(jìn)行快速掃描嗜侮。Nuclei提供TCP港令、DNS、HTTP锈颗、FILE等各類協(xié)議的掃描缠借,通過強大且靈活的模板,可以使用Nuclei模擬各種安全檢查宜猜。

Nuclei安裝

首先安裝go環(huán)境(go1.17以上版本)

下載對應(yīng)平臺的安裝包泼返,默認(rèn)安裝即可,本文默認(rèn)安裝windows版本

https://github.com/projectdiscovery/nuclei/releases

Nuclei基礎(chǔ)使用介紹

原理:根據(jù)yaml模板中的內(nèi)容模擬攻擊請求姨拥,然后根據(jù)響應(yīng)結(jié)果來判斷系統(tǒng)中是否存在漏洞绅喉。內(nèi)置yaml文件路徑如下:(本文只關(guān)注cve相關(guān)漏洞)

上圖中一個yaml文件其實就模擬了一個攻擊請求,以CVE-2022-29298.yaml為例叫乌,文件內(nèi)如如下:

id: CVE-2022-29298

info:

name: SolarView Compact 6.00 - Directory Traversal

author: ritikchaddha

severity: high

description: SolarView Compact ver.6.00 allows attackers to access sensitive files via directory traversal.

reference:

- https://www.exploit-db.com/exploits/50950

- https://drive.google.com/file/d/1-RHw9ekVidP8zc0xpbzBXnse2gSY1xbH/view

- https://nvd.nist.gov/vuln/detail/CVE-2022-29298

- https://drive.google.com/file/d/1-RHw9ekVidP8zc0xpbzBXnse2gSY1xbH/view?usp=sharing

classification:

cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

cvss-score: 7.5

cve-id: CVE-2022-29298

cwe-id: CWE-22

metadata:

shodan-query: http.html:"SolarView Compact"

verified: "true"

tags: cve,cve2022,lfi,solarview

requests:

- method: GET

path:

- "{{BaseURL}}/downloader.php?file=../../../../../../../../../../../../../etc/passwd%00.jpg"

matchers-condition: and

matchers:

- type: regex

part: body

regex:

- "root:.*:0:0:"

- type: status

status:

- 200

我們可以重點關(guān)注以下字段:

severity表示這個cve漏洞的級別

tags,表示這個漏洞被定義的標(biāo)簽柴罐,cve表示在命令行中輸入cve標(biāo)簽時會執(zhí)行該yaml

requests,表示要模擬的請求憨奸,關(guān)于method: GET革屠、path"{{BaseURL}} "、就不詳細(xì)講解了,他們與http協(xié)議中定義的內(nèi)容一致似芝。

Matchers那婉,簡單的說就是用于對請求響應(yīng)的校驗,上述代碼中校驗了響應(yīng)中的兩項內(nèi)容:

通過正則方式- type: regex校驗響應(yīng)body里是否有滿足正則表達(dá)式- "root:.*:0:0:"的內(nèi)容

校驗響應(yīng)的狀態(tài)碼- type: status 是否是200党瓮。

這兩項校驗內(nèi)容是與的關(guān)系详炬,matchers-condition: and(默認(rèn)是or),關(guān)于更多的matcher相關(guān)知識我會加后面的文章中提及寞奸。

關(guān)于編寫http請求的詳細(xì)規(guī)則請參考

https://nuclei.projectdiscovery.io/templating-guide/protocols/http/

具體template編寫語法請參考

https://github.com/projectdiscovery/nuclei/blob/master/SYNTAX-REFERENCE.md

備注:從v2.5.2開始呛谜,nuclei在運行時會自動更新template

注意:這里有的同學(xué)可能要問下面的語法形式是什么意思呢?

- type: status

status:

- 200

這是yaml語法枪萄,大家可以自行百度之隐岛!

Nuclei常用命令

Nuclei幫助文檔

nuclei –h

這里就不再詳細(xì)介紹了,自行查看即可瓷翻。其他常用命令如下:

1.對url https://example.com礼仗,進(jìn)行cve規(guī)則的檢測(通過tags cve),檢測的漏洞級別是critical和high逻悠,作者是geeknik

nuclei -u https://example.com -tags cve -severity critical,high -author geeknik -o result.txt

2.對url https://example.com元践, 控制臺輸出統(tǒng)計結(jié)果-stats,檢測的漏洞級別是critical和high童谒,并把結(jié)果輸出到result2.json(推薦单旁,json形式的報告統(tǒng)計信息非常詳細(xì))

nuclei -u https://example.com -stats -severity critical,high -o result2.json -json -irr

3.對url https://example.com,進(jìn)行模板CVE-2022-1439.yaml的檢測

nuclei -debug -u https://example.com -t \cves\2022\CVE-2022-1439.yaml

4.nuclei也支持對不同的url進(jìn)行掃描饥伊,定義一個txt文件象浑,然后里面保存需要掃描的url,具體使用如下:

nuclei -list urls.txt

urls.txt包括的內(nèi)容如下:

http://example.com

http://app.example.com

http://test.example.com

http://uat.example.com

5.如果想把結(jié)果以不同格式輸出琅豆,參考如下:

#輸出結(jié)果為JSON格式

nuclei -u https://example.com -json

#輸出結(jié)果保存到Markdown格式文件

nuclei -u https://example.com -me result

更多輸出結(jié)果愉豺,請參考nuclei –h 的OUTPUT字段,內(nèi)容如下:

OUTPUT:

-o, -output string output file to write found issues/vulnerabilities

-sresp, -store-resp store all request/response passed through nuclei to output directory

-srd, -store-resp-dir string store all request/response passed through nuclei to custom directory (default "output")

-silent display findings only

-nc, -no-color disable output content coloring (ANSI escape codes)

-json write output in JSONL(ines) format

-irr, -include-rr include request/response pairs in the JSONL output (for findings only)

-nm, -no-meta disable printing result metadata in cli output

-nts, -no-timestamp disable printing timestamp in cli output

-rdb, -report-db string nuclei reporting database (always use this to persist report data)

-ms, -matcher-status display match failure status

-me, -markdown-export string directory to export results in markdown format

-se, -sarif-export string file to export results in SARIF format

自定義檢測模板

Nuclei支持自定義編寫YAML語法模板茫因,您可以工具自己的需求編寫自己的檢測模板蚪拦。

例如定義模板mytemplate.yaml,內(nèi)容如下:

id: basic-example

info:

name: Test HTTP Template

author: pdteam

severity: info

requests:

- method: GET

path:

- "{{BaseURL}}/"

matchers:

- type: word

words:

- "This is test matcher text"

調(diào)用時冻押,執(zhí)行如下命令即可:

nuclei -u https://example.com -t mytemplate.yaml

nuclei使用總結(jié)

首先確認(rèn)要掃描的接口(http驰贷,url),這點沒有appscan洛巢,zap工具方便括袒,他們可以主動探索攻擊;

然后確認(rèn)要掃描的規(guī)則稿茉,即確認(rèn)yaml文件(根據(jù)tag選擇想檢測的內(nèi)容锹锰,例如:cve芥炭、panel、lfi恃慧、xss等等)园蝠,我們可以使用nuclei自帶的yaml,也可以自定義yaml糕伐,為了提升掃描效率我們還可以自定義workflows砰琢,這個話題會在后面的文章中提及蘸嘶;

最后就是通過命令運行腳本并生成測試報告良瞧。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市训唱,隨后出現(xiàn)的幾起案子褥蚯,更是在濱河造成了極大的恐慌,老刑警劉巖况增,帶你破解...
    沈念sama閱讀 206,839評論 6 482
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件赞庶,死亡現(xiàn)場離奇詭異,居然都是意外死亡澳骤,警方通過查閱死者的電腦和手機歧强,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,543評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來为肮,“玉大人摊册,你說我怎么就攤上這事〖昭蓿” “怎么了茅特?”我有些...
    開封第一講書人閱讀 153,116評論 0 344
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長棋枕。 經(jīng)常有香客問我白修,道長,這世上最難降的妖魔是什么重斑? 我笑而不...
    開封第一講書人閱讀 55,371評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任兵睛,我火速辦了婚禮,結(jié)果婚禮上窥浪,老公的妹妹穿的比我還像新娘卤恳。我一直安慰自己,他們只是感情好寒矿,可當(dāng)我...
    茶點故事閱讀 64,384評論 5 374
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布突琳。 她就那樣靜靜地躺著,像睡著了一般符相。 火紅的嫁衣襯著肌膚如雪拆融。 梳的紋絲不亂的頭發(fā)上蠢琳,一...
    開封第一講書人閱讀 49,111評論 1 285
  • 城市分裂傳說
    那天,我揣著相機與錄音镜豹,去河邊找鬼傲须。 笑死,一個胖子當(dāng)著我的面吹牛趟脂,可吹牛的內(nèi)容都是我干的泰讽。 我是一名探鬼主播,決...
    沈念sama閱讀 38,416評論 3 400
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼昔期,長吁一口氣:“原來是場噩夢啊……” “哼已卸!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起硼一,我...
    開封第一講書人閱讀 37,053評論 0 259
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤累澡,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后般贼,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體愧哟,經(jīng)...
    沈念sama閱讀 43,558評論 1 300
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,007評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年哼蛆,在試婚紗的時候發(fā)現(xiàn)自己被綠了蕊梧。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,117評論 1 334
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡腮介,死狀恐怖肥矢,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情萤厅,我是刑警寧澤橄抹,帶...
    沈念sama閱讀 33,756評論 4 324
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站惕味,受9級特大地震影響楼誓,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜名挥,卻給世界環(huán)境...
    茶點故事閱讀 39,324評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一疟羹、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧禀倔,春花似錦榄融、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,315評論 0 19
  • 一樁弒父案愧杯,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至鞋既,卻和暖如春力九,著一層夾襖步出監(jiān)牢的瞬間耍铜,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,539評論 1 262
  • 情欲美人皮
    我被黑心中介騙來泰國打工跌前, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留棕兼,地道東北人。 一個月前我還...
    沈念sama閱讀 45,578評論 2 355
  • 代替公主和親
    正文 我出身青樓抵乓,卻偏偏與公主長得像伴挚,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子灾炭,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 42,877評論 2 345

推薦閱讀更多精彩內(nèi)容