`搜索公众号:白帽子左一,每天更新技术干货!前言
会有这个版本的原因全靠老猫,他把自己的提交脚本给我借鉴之后我改出了3.0版本(老猫yyds),
2.0版本:漏洞盒子自动提交脚本2.0
3.0版本 VS 2.0版本:
0x01 脚本简介代码全部重构,2.0有200多行代码,而3.0只有100多行
3.0提交漏洞的速度比2.0快了最少4倍
使用更方便(如果要提交WEB漏洞下其他类型漏洞无需修改脚本即可提交)
先看看压缩包内的文件都有啥用
其实还有一个文件它叫submitted.txt是用来记录提交失败的网站的,并且会记录提交失败的原因
使用它我们只需要了解两个文件即可,bugs.xlsx & config.yaml
1.bugs.xlsx,要提交的漏洞信息就填这里面
表中的列都是中文,对应着提交页面的输入框,提交之前看看要提交的漏洞类型需要哪些信息,要的就填到表中,不要的那列就空着
如果内容要换行的话用n,要上传图片的话需要让图片路径独占一行,也就是图片路径前后都要有n,例如:这里有SQL注入n图片地址n就是这样了
2.config.yaml,配置文件
Key_auth和VulBox_uid这两个cookie值需要先登录盒子后获取,然后把对应的值填入配置文件(别说不知道怎么找cookie)
细心的小伙伴可能发现了配置文件和bugs.xlsx中都有漏洞简述和修复方案这个东西,如果bugs.xlsx中有的话就以它的为准,否则会用配置文件中的
漏洞类型是一串数字,我下面来教大家怎么找,先以SQL注入的为例,在选漏洞类型的时候按F12,这里可以看到web漏洞的标签中有个值是1,记住它
然后点击web漏洞选sql注入,会发现标签中有个7和29,记住这两个值
把刚才的1和7,29组合起来1,7,29就是SQL注入的bugType值了
下面再看个特殊的,这里的信息泄露只有一个15,另外一个undefined不用管
组合起来就是1,15就是信息泄露的bugType值了
0x02 使用演示1.先安装脚本所需的python环境,脚本是python3写的,然后安装所需要的库pip install -r librays.txt
2.好了之后就去bugs.xlsx中把要提交的漏洞内容填好
3.登录盒子,获取cookie填好,并且把答题搞了,不然脚本会报错的
4.运行脚本,python main.py
成功提交
脚本获取:
搜公众号:白帽子左一,在后台回复:“0255”获取
