旺旺彩票|旺旺彩票_Welcome:Sepia-乌贼 一款集PoC批量验证和漏洞攻击的渗透测

旺旺彩票|旺旺彩票_Welcome

  Sepia(乌贼)是一款集PoC批量验证和漏洞攻击的渗透测试工具,能满足漏洞爆发时快速对资产状况进行查证的需求。

  一些Web应用程序的漏洞其对应的URL可能千变万化,仅利用@cdxy批量规范URL的方法会降低验证效率,因此Sepia在toolkit文件中增加了正则定制项urlfilter,通过配合百度URL爬虫,能大大提升抓取和验证的效率。

  Sepia去掉了POC-T导出到文件的功能,引入prettytable直接将结果做成表格显示在终端。

  由于Sepia含有漏洞的攻击功能,但各种漏洞的攻击方式会有很大差异,目前已经基本确定了Sepia的脚本编写规则和标准,这应该是和POC-T有比较大区别的地方。

  总之,POC-T专注的是并发批量处理任务,而Sepia只专注高效批量PoC验证并能对单个目标实施攻击。

  --limit #设定抓取数据的量,该值不是一个精准值(因为爬取数据是按页读取同时对URL做了贪心处理,即将同一个url变换成多个,所以某些情况下抓取结果数量会和指定结果数量不一致,一般是偏多),默认为10

  --search-type #指定ZoomEye的抓取方式,web或host,默认为host

  可以看到这样抓取的URL有很多都不是我们想要的,因此我们在f中增加URL过滤器[urlfilter]regex:((?:然后重新试试。

  对于.//下所有脚本,如果脚本中包含有exp方法,Sepia会在-t模式下自动进入exploit模式。

旺旺彩票|旺旺彩票_Welcome