HTTP

常规正则匹配规范（Regex）

文件类（File）

命令类（原则上，在不能使用expr等操作时才可使用以下命令进行证明）

常规漏洞检测模版（Vulns）

本着在保证准确性的前提下尽可能少发包的原则，切忌在第一个规则中的expression只使用一个response.status == 200这样的规则，这样基本等于会多发一个请求，理论上多少都应该有一些特征。

未授权类（Unauth）

文件读取类（File read）

系统文件（System file）

网站配置文件（Website Configuration）

RCE类

代码执行 (Code Execution)

在随机数过小的情况下，可能还是会出现误报，所以，请在适当的时候，活用bstartsWith方法或者尝试匹配网页中的其他特征。

例如，计算的结果直接返回，并无其他附加，那么这个时候就可以使用response.body.bstartsWith(bytes(string(s1 - s2)))

命令执行 (Command Execution)

无回显RCE

SQL注入类

普通注入（Ordinary injection）

报错注入（Error injection）

布尔盲注（Bool）

时间盲注（Time）

SSRF/URL跳转类

目前暂时推荐使用example.com/example.org，后续会支持配置文件中动态获取以下为具体示例，在不影响验证的情况下，推荐使用r0规则进行验证（URL跳转） ps：在使用r0规则时，有两点需要注意：

当存在多次跳转的情况时，请不要使用该规则
当location中包含原本请求的url时，请谨慎使用该规则，可能导致验证失败

SSRF

弱口令类（Weak password）

name: poc-yaml-activemq-weak-password
manual: true
transport: http
payloads:
  payloads:
    p1:
      username: r"admin"
      password: r"admin"
      auth: base64(username + ":" + password)
rules:
  check:
    request:
      cache: true
      method: GET
      path: /admin/
    expression: response.status == 401 && response.body.bcontains(b"Unauthorized")
  auth:
    request:
      cache: false
      method: GET
      path: /admin/
      headers:
        Authorization: Basic {{auth}}
    expression: response.status == 200 && response.body.bcontains(b"Welcome to the Apache ActiveMQ Console of") && response.body.bcontains(b"<h2>Broker</h2>")
expression: check() && auth()
detail:
  author: Chaitin
  links:
    - http://test.com

难以无害化漏洞检测模版（Difficult to harmless）

文件删除（Delete）

此类漏洞建议使用版本匹配的方式，或者匹配其他特征的方式侧面验证漏洞的存在，不要直接执行删除请求，以防对测试目标造成损害。

文件修改（Modify）

此类漏洞建议使用版本匹配的方式，或者匹配其他特征的方式侧面验证漏洞的存在，不要直接执行删除请求，以防对测试目标造成损害。

文件上传（Upload）

multipart/form-data; boundary=---------------------------16314487820932200903769468567中的boundary应随机化
在上传的文件不能删除的情况下，可以选择继续上传一个同名空文件（请确保上传后的文件名称不被重命名），将原来的文件内容进行覆盖。
但常规情况下，在上传php，jsp文件时，可以使用一些函数来将上传的文件删除，示例如下：

账号/密码修改（Account/Password Change）

此类漏洞建议使用版本匹配的方式，或者匹配其他特征的方式侧面验证漏洞的存在，不要直接执行删除请求，以防对测试目标造成损害。

特殊漏洞检测（Special vulnerability detection）

文件读取后，返回内容被编码（Content encoded）

name: poc-yaml-test
manual: true
transport: http
rules:
  r0:
    request:
      cache: true
      method: POST
      path: /test
      headers:
        Content-Type: application/xml
      body: "<?xml version=\"1.0\" encoding=\"UTF-8\"?><methodCall>\r\n<methodName>WorkflowService.getAttachment</methodName>\r\n<params><param><value><string>/etc/passwd</string>\r\n</value></param></params></methodCall>"
    expression: response.status == 200 && "root:[x*]:0:0:".matches(base64Decode("<base64>(?P<base64>.*)</base64>".bsubmatch(response.body)["base64"]))
expression: r0()
detail:
  author: test
  links:
    - https://www.test.com

Mssql unicode编码字符串

name: poc-yaml-test
manual: true
transport: http
set:
    rs: randomLowercase(20)
rules:
    r0:
      request:
        method: GET
        path: /?sql=select UPPER('{{rs}}')
      expression: response.body_string.contains(upper(rs))
expression: r0()
detail:
    author: test
    links:
      - https://www.test.com

TCP

常规服务漏洞（service vulnerability）

memcache未授权访问漏洞

name: poc-yaml-test
manual: false
transport: tcp
rules:
  r0:
    request:
      content: "stats"
      read_timeout: "3"
    expression: response.raw.bcontains(b"STAT pid") && response.raw.bcontains(b"STAT version")
    output:
      version: '"STAT version (?P<version>[\\d\\.]+)".bsubmatch(response.raw)["version"]'
      host: response.conn.destination.addr
expression: r0()
detail:
  author: test
  fingerprint:
    infos:
      - name: "memcache"
        version: "{{version}}"
    host_info:
      hostname: "{{host}}"

需要建立多个TCP连接进行验证的漏洞

可能类似这样的漏洞：CVE-2016-8704

参考连接：https://talosintelligence.com/vulnerability_reports/TALOS-2016-0219/

插件介绍

YAML

最佳实践

GO

编写模板

HTTP

常规正则匹配规范（Regex）

文件类（File）

命令类（原则上，在不能使用expr等操作时才可使用以下命令进行证明）

常规漏洞检测模版（Vulns）

未授权类（Unauth）

文件读取类（File read）

系统文件（System file）

网站配置文件（Website Configuration）

RCE类

代码执行 (Code Execution)

命令执行 (Command Execution)

无回显RCE

SQL注入类

普通注入（Ordinary injection）

报错注入（Error injection）

布尔盲注（Bool）

时间盲注（Time）

SSRF/URL跳转类

SSRF

弱口令类（Weak password）

难以无害化漏洞检测模版（Difficult to harmless）

文件删除（Delete）

文件修改（Modify）

文件上传（Upload）

账号/密码修改（Account/Password Change）

特殊漏洞检测（Special vulnerability detection）

文件读取后，返回内容被编码（Content encoded）

Mssql unicode编码字符串

TCP

常规服务漏洞（service vulnerability）

memcache未授权访问漏洞

需要建立多个TCP连接进行验证的漏洞

插件介绍

YAML

最佳实践

GO

​HTTP

​常规正则匹配规范（Regex）

​文件类（File）

​命令类（原则上，在不能使用expr等操作时才可使用以下命令进行证明）

​常规漏洞检测模版（Vulns）

​未授权类（Unauth）

​文件读取类（File read）

​系统文件（System file）

​网站配置文件（Website Configuration）

​RCE类

​代码执行 (Code Execution)

​命令执行 (Command Execution)

​无回显RCE

​SQL注入类

​普通注入（Ordinary injection）

​报错注入（Error injection）

​布尔盲注（Bool）

​时间盲注（Time）

​SSRF/URL跳转类

​SSRF

​弱口令类（Weak password）

​难以无害化漏洞检测模版（Difficult to harmless）

​文件删除（Delete）

​文件修改（Modify）

​文件上传（Upload）

​账号/密码修改（Account/Password Change）

​特殊漏洞检测（Special vulnerability detection）

​文件读取后，返回内容被编码（Content encoded）

​Mssql unicode编码字符串

​TCP

​常规服务漏洞（service vulnerability）

​memcache未授权访问漏洞

​需要建立多个TCP连接进行验证的漏洞

HTTP

常规正则匹配规范（Regex）

文件类（File）

命令类（原则上，在不能使用expr等操作时才可使用以下命令进行证明）

常规漏洞检测模版（Vulns）

未授权类（Unauth）

文件读取类（File read）

系统文件（System file）

网站配置文件（Website Configuration）

RCE类

代码执行 (Code Execution)

命令执行 (Command Execution)

无回显RCE

SQL注入类

普通注入（Ordinary injection）

报错注入（Error injection）

布尔盲注（Bool）

时间盲注（Time）

SSRF/URL跳转类

SSRF

弱口令类（Weak password）

难以无害化漏洞检测模版（Difficult to harmless）

文件删除（Delete）

文件修改（Modify）

文件上传（Upload）

账号/密码修改（Account/Password Change）

特殊漏洞检测（Special vulnerability detection）

文件读取后，返回内容被编码（Content encoded）

Mssql unicode编码字符串

TCP

常规服务漏洞（service vulnerability）

memcache未授权访问漏洞

需要建立多个TCP连接进行验证的漏洞