前言
一款图形化、批量采集url、批量对采集的url进行各种nday检测的工具。可用于src挖掘、cnvd挖掘、0day利用、打造自己的武器库等场景。
项目地址
https://github.com/W01fh4cker/Serein
关注浪飒sec回复Serein获取快速下载地址
Latest-Interface-Display | 最新版页面展示
Exploit-Example | 利用示例
- 我们想批量利用
向日葵RCE漏洞,于是我们base64加密语句body="Verification failure",得到:Ym9keT0iVmVyaWZpY2F0aW9uIGZhaWx1cmUi。 - 我们选取获取前
2000条(具体条数需要根据自己的会员情况来填写):
- 直接点击
向日葵RCE一把梭:
- 可以看到软件开始批量检测了(可能会出现短时间的空白,请耐心等待程序运行):
软件的线程数是100,可以自己对exp文件下的xrk_rce.py的第58行进行调整。(速度还是很快的) - 删除文件夹下
urls.txt、修正后的url.txt、host.txt这三个文件,准备使用其他一键梭哈模块:
How-To-Use | 如何使用
B站:https://www.bilibili.com/video/bv1Dv4y137Lu
- 需要
python3.7~3.9git clone https://github.com/W01fh4cker/Serein.git
cd Serein
pip3 install -r requirements.txt
python3 Serein.py - 点击左上角的
软件配置配置fofa的email和key(注意不是密码,而是https://fofa.info/personalData下方的API KEY),然后就可以愉快地使用fofa搜索啦。 注意:必须是fofa普通/高级/企业账号,因为fofa注册会员调用api需要消耗f币,如果您是注册会员请确保您有f币,否则无法查询! - 搜集完成之后,软件的同级目录下会生成
urls.txt、修正后的url.txt、host.txt,分别保存采集的原始url、添加了http/https头的url、仅网站IP。 - 完成一次扫描任务后,若要开启下一次扫描,请删除文件夹下
urls.txt、修正后的url.txt、host.txt这三个文件。
免责声明
本公众号提供的工具仅供学习使用, 如若使用工具进行非法行为皆与本公众号无关
本文标题:工具推荐——Serein (SRC挖掘神器)
本文链接:https://blog.langsasec.cn/index.php/2022/08/07/serein/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
本文链接:https://blog.langsasec.cn/index.php/2022/08/07/serein/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
