点击上方蓝字关注我们 并设为星标
0x00 前言
目前内测中,希望大家給出修改建议及Bug!
编写工具的初衷是想让不懂代码的小白也能审计并有成果,给懂审计的减轻负担,最终实现自动化审计+验证,本工具最大的特点是多加了个自动化验证功能.
自动化验证功能能保证Payload 100% 正确,不是AI給出的一些没有用的建议及无用Payload,自动化验证模式分为三种 P-V验证 O-R验证 混合模式
自动化生成的报告,能保证Payload 100%能使用.
使用BurpSuite调用自动生成的Payload发包:
0x01 P-V验证模式
该模式在完全离线情况下可直接使用,不会收到任何影响,使用该模式需要搭建一个能用的测试站,或者使用公网设备测试,然后在总设置中填写验证Payload的地址,根据自己喜好填写Sqlmap注入语句.
然后将源码放入自动审计板块中的 新建项目,然后点击开始审计即可开始.
首先是基于污点分析得出的几个可能的点,然后自动寻找到可能存在漏洞的高危代码,逆向追踪代码链,找到入口函数并进行公式化检测Payload.
当目标Payload 测试回显成功时,会显示在漏洞管理板块中,低危默认白色,中危标注淡黄,高危标注芙红,除文件上传漏洞的Payload 需要等待报告生成外,其余均可直接复制Payload并使用.
SQL注入漏洞的验证默认基于SQLMAP,可根据喜好调整SQLMAP参数.
右键-查看Sqlmap注入日志,即可看到sqlmap的运行文档,可直接复制出来另作他用,其他漏洞不过多介绍了,原理基本一致,等待漏洞验证完毕,即可自动生成报告并打开,报告默认生成为 html
报告完整界面如下:
0x02 O-V验证模式
该模式基于DeepSeek-R1 自动化追踪代码链+Payload生成,然后本地进行验证,也能保证准确率在一个较高的水平.
0x03 公开交流群
标签:代码审计,0day,渗透测试,系统,通用,0day,闲鱼,转转
PS:审计报告关注公众号,发送 250210 获取!
开了个星悦安全公开交流群,🈲发公众号,纯粹研究技术,还会拉一些大佬,希望大家多多交流.
下方二维码添加好友 回复关键词星悦安全进群
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...