压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

關(guān)于ppmap

ppmap是一款基于Go開發(fā)的漏洞掃描器/漏洞利用工具，該工具能夠通過在全局上下文中檢查特定變量來掃描、檢測(cè)和利用XSS漏洞。該工具目前只能利用已知Gadget（可能支持部分自定義開發(fā)的Gadget）中的安全問題，但不支持代碼分析或任何高級(jí)的漏洞掃描/利用方式。

工作流程

通過啟發(fā)式掃描確定網(wǎng)站是否容易受攻擊；

對(duì)已知小工具進(jìn)行指紋識(shí)別（檢查全局上下文中的特定變量）；

顯示最終的漏洞利用并準(zhǔn)備執(zhí)行XSS攻擊；

工具依賴

首先，我們需要確保已經(jīng)正確安裝好了Chromium/Chrome：

sudo sh -c 'echo "deb http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list'
wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
sudo apt-get update
sudo apt-get install google-chrome-stable

接下來，我們還需要安裝好chromedp：

go get -u github.com/chromedp/chromedp

工具安裝

自動(dòng)安裝

首先，點(diǎn)擊【這里】下載已編譯好的項(xiàng)目代碼。

接下來，切換到項(xiàng)目目錄下，給程序提供可執(zhí)行權(quán)限：

chmod +x ppmap

手動(dòng)安裝

首先，我們需要使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/kleiton0x00/ppmap.git

切換到項(xiàng)目目錄下：

cd ~/ppmap

使用下列命令構(gòu)建項(xiàng)目代碼：

go build ppmap.go

工具使用

該工具的使用非常簡(jiǎn)單，我們可以通過下列兩種方式執(zhí)行簡(jiǎn)單掃描：

1、掃描一個(gè)目錄/文件（或直接掃描網(wǎng)站本身）：

echo 'https://target.com' | ./ppmap

2、掃描一個(gè)終端節(jié)點(diǎn)：

echo 'http://target.com/something/?page=home' | ./ppmap

大規(guī)模掃描

cat url.txt | ./ppmap

其中，url.txt為包含所有目標(biāo)url地址的列表文件。

工具運(yùn)行演示

項(xiàng)目地址

ppmap：【GitHub傳送門】

參考資料

https://msrkp.github.io/pp/2.html

https://ctf.nikitastupin.com/pp/known.html

https://grey-acoustics.surge.sh/

https://infosecwriteups.com/javascript-prototype-pollution-practice-of-finding-and-exploitation-f97284333b2

https://gist.github.com/nikitastupin/b3b64a9f8c0eb74ce37626860193eaec

轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM