前言
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
下面分享的,都是本人经常使用的漏洞库与知识库
免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本博客不为此承担任何责任。
分享声明
以下的漏洞库均属安全团队自行收集,本人及博客仅做分享,如有侵权,联系作者本人进行删除
最近漏洞库分享
1.接近1.5W条CVE的poc
由微信公众号Z2O安全攻防一直进行维护和维护的CVE库,接近1.5W条
komomon/POC_Collect: (持续更新)本项目为存储团队Bot小K每日监测到的最新POC,EXP,以及自己平时总结的POC,为了方便渗透测试过程中,漏洞查询,脱网环境的渗透测试。 (github.com)https://github.com/komomon/POC_Collect
2.一个漏洞POC知识库
由微信公众号海底天上月及其团队维护的各种类型的漏洞库
Threekiii/Awesome-POC: 一个漏洞POC知识库 (github.com)https://github.com/Threekiii/Awesome-POC
包含下面各种类型的漏洞知识库,其中所有漏洞知识库,都是由md文档类型进行编写的
下面是部分漏洞POC知识库清单,详情请到github漏洞知识库进行查看
清单
Nacos 漏洞清单
SmartBi 漏洞 Checklist
安全设备漏洞 Checklist
CMS漏洞
74cms v4.2.1 v4.2.129 后台getshell漏洞
74cms v5.0.1 后台跨站请求伪造漏洞 CVE-2019-11374
Anchor CMS 0.12.7 跨站请求伪造 CVE-2020-23342
AspCMS commentList.asp SQL注入漏洞
BloofoxCMS 0.5.2.1 存储型XSS
BSPHP index.php 未授权访问 信息泄露漏洞
CMS Made Simple (CMSMS) 前台SQL注入漏洞 CVE-2019-9053
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120
CmsEasy crossall_act.php SQL注入漏洞
CmsEasy language_admin.php 后台命令执行漏洞
CmsEasy update_admin.php 后台任意文件上传漏洞
CxCMS Resource.ashx 任意文件读取漏洞
DedeCMS 5.7 file_manage_control.php 文件包含 RCE CVE-2023-2928
DedeCMS 5.7SP2 代码执行漏洞 CVE-2019-8933
DedeCMS 5.8.1 common.func.php 远程命令执行漏洞
Discuz 3.4 最新版后台getshell
Discuz 7.x6.x 全局变量防御绕过导致代码执行
迪库兹!X ≤3.4 任意文件删除漏洞
迪库兹!X 3.4 admincp_setting.php 后台SQL注入漏洞
迪库兹!X3.4 后台修改UCenter配置getshell漏洞
DocCMS关键字SQL注入漏洞
Drupal 7.32 “Drupalgeddon” SQL注入漏洞 CVE-2014-3704
Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞 CVE-2017-6920
Drupal Drupalgeddon 2 远程代码执行漏洞 CVE-2018-7600
Drupal XSS漏洞 CVE-2019-6341
Drupal 远程代码执行漏洞 CVE-2018-7602
Drupal 远程代码执行漏洞 CVE-2019-6339
ECShop 2.x3.x SQL注入任意代码执行漏洞
ECShop 4.x collection_list SQL注入
emlog widgets.php 后台SQL注入漏洞
ezEIP 4.1.0 信息泄露漏洞
Fuel CMS 1.4.1 远程代码执行漏洞
Joomla 3.4.5 反序列化漏洞 CVE-2015-8562
Joomla 3.7.0 SQL注入漏洞 CVE-2017-8917)