POC字段
EZ PoC字段名说明
| 序号 | 字段名 | 类型 | Yaml对应名称 | 是否必选 | 说明 |
|---|---|---|---|---|---|
| 1 | name | string | name | 是 | POC名称,限定由三种字符构成:小写字母、数字、-。 例如:poc-yaml-vbulletin-rce-cve-2020-17496 |
| 2 | Type | int | type | 否 | 定义检测POC的扫描类型,参数级或目录级,取值范围: PERFILETYPE = 5 PERFOLDERTYPE = 1 PERSCHEMETYPE = 2 PERHOST = 3 PERDNS = 4 |
| 3 | Protocol | string | protocol | 否 | 协议,取值范围:HTTP、TCP、UDP,默认为HTTP |
| 4 | Level | Int | level | 是 | POC对应漏洞的风险等级, 0:低危(指纹提示、轻微的信息泄露、登录页面等,通常不开发该风险等级的指纹) 1:中危(可间接获取权限或信息的漏洞,如SQL注入、管理员密码或密码hash泄露、后台默认口令、ssrf等) 2 :高危(有一定条件的getshell,例如:需要暴力破解key、需要等待管理员触发等) 3:严重(可直接getshell或RCE的漏洞,如:Struts2-045、fastjson、shiro反序列化RCE等) |
| 5 | Finger | string | finger | 否 | POC所对应指纹,若该字段被定义,则当且仅当匹配到对应指纹后才会发送POC检测。 取值有两种形式: - "vbulletin" in finger.name (完全匹配) - finger.name.lcontains("vbulletin") (搜索匹配) |
| 6 | PocCode | string | pocCode | 否 | 唯一值,默认不需要填写,EZ会自动生成,生成方式是先把yaml md5,然后取前4位。 |
| 7 | Set | map[string]string | set | 否 | 定义在POC中使用的变量,通常用于生成随机数和随机字符串。例如: set: r1: randomInt(8000, 10000) r2: randomInt(8000, 10000) |
| 8 | Rules | []red.Rules | rules | 否 | POC检测规则字段,由一系列检测规则组合而成,检测规则取值详见表二。 |
| 9 | Groups | map[string][]red.Rules | groups | 否 | 由若干个Rules组合而成,检测采用“或”关系运算,即只要其中某一个Rules满足检测逻辑就报告漏洞。通常Rules与Groups需要至少填写一项。 |
| 10 | Detail | Detail | detail | 否 | 定义PoC的描述信息,详见表三 |
Rules字段说明:
| 序号 | 字段名 | 类型 | Yaml对应名称 | 是否必选 | 说明 |
|---|---|---|---|---|---|
| 1 | Method | string | method | 是 | 请求方式,Web漏洞POC取值通常包括:GET、POST、PUT、TRACE、MOVE等,TCP类型POC取值固定为TCP。 |
| 2 | Path | string | path | 否 | 请求路径,在Web漏洞POC中必须填写,例如:“/index” |
| 3 | Headers | map[string]string | headers | 否 | 请求头,由一组请求头构成,指定发送POC时除默认请求头以外附加的请求头参数,例如: headers: Cookie: ctr_t=0; sid=123456789 Content-Type: application/json |
| 4 | Body | int | body | 是 | 请求体,指定发送POC时的请求体部分,形式允许任意填写。例如: 1. urlencode 类型:a=1&b=2 2. JSON类型:{"a":1,"b":2} 3. XML类型: \<xml> \<a>1\</a> \<b>2\</b> \</xml> |
| 5 | Search | string | search | 否 | 定义从响应包中需要提取的变量,通过正则表达式的P方法将提取到的内容存储在变量中, 如下案例,将响应包中隐藏的input标签中连续的32位字符提取并储存在token变量。 例如: search: <input\stype="hidden"\sname="(?P\<token>\S{32})" |
| 6 | FollowRedirects | bool | follow_redirects | 否 | 是否跟随跳转,当取值为1时,表示跟随跳转,此时会检测跳转后的页面响应内容。当取值为0时,表示不跟随跳转,此时仅检测当前响应内容,尽管响应头为301、302也仍然仅会检测当前响应。 |
| 7 | Expression | string | expression | 否 | 命中POC的条件,通常由一串逻辑表达式组成 例如: expression: | response.status == 200 && "root:[x*]:0:0:".bmatches(response.body) 表示当匹配到响应头状态200且响应内容命中所示正则时,完成此次匹配。 当缺省Expression字段时,会默认直接匹配该检测项,若POC中仅有一条检测项,且expression为空,则会直接报告漏洞存在。 |
Detail字段说明:
| 序号 | 字段名 | 类型 | Yaml对应名称 | 是否必选 | 说明 |
|---|---|---|---|---|---|
| 1 | Author | string | author | 否 | 插件开发作者 |
| 2 | Links | []string | links | 否 | 相关链接,提供一组能够描述漏洞原理、详情或复现方式的参考链接 |
| 3 | Description | string | description | 否 | 漏洞简要描述,可以直接填写与漏洞有关的描述信息。 |
| 4 | TvulId | int | tvul_id | 是 | 与M-SEC对应的漏洞唯一编号,Web类POC由1-6位数字表示: 如:91846 可关联社区漏洞:https://msec.nsfocus.com/vuln/detail/2024-91846 |
Response字段说明:
| 序号 | 字段名 | 类型 | Yaml对应名称 | 是否必选 | 说明 |
|---|---|---|---|---|---|
| 1 | Headers | map[string]string | author | 否 | headers,匹配响应头参数,如: response.headers["content-type"].contains() 。 注意响应头全部小写。 |
| 2 | Body | byte | body | 否 | 响应体,通常匹配形式如下: response.body.bcontains(b"for 16-bit app support") |
| 3 | Content_type | string | content_type | 否 | 响应content-type字段,可以用headers["content-type"]代替。 |
| 4 | Status | int | status | 否 | 响应状态码,例如:response.status==200 |
| 5 | ReqRaw | string | reqRaw | 否 | 请求原始内容,字符串形式 |
| 6 | RespRaw | string | respRaw | 否 | 响应原始内容,字符串形式 |
| 7 | Body_md5 | string | body_md5 | 否 | 响应体md5值 |
| 8 | Icon_hash | string | icon_hash | 否 | 图标hash,计算方法与fofa一致 |