/pocassist

傻瓜式漏洞PoC测试框架

Primary LanguageGoApache License 2.0Apache-2.0

pocassist

pocassist是一个 Golang 编写的全新开源漏洞测试框架。

  • 简单易用
    • 只需要在前端编辑,即可生成poc对批量目标进行测试
    • 单二进制文件,无依赖,也无需安装
  • 性能优秀
    • 支持高并发,多重并发控制,通过使用 ants实例化协程池,复用 goroutine
    • 多重内存复用,尽可能小的内存占用
  • 规则体系
    • 完全兼容xray,但又不仅仅是xray。除了支持定义目录级漏洞poc,还支持服务器级漏洞、参数级漏洞、url级漏洞以及对页面内容检测,如果以上还不满足你的需求,还支持加载自定义脚本。

使用之前务必先阅读使用文档!

🏠使用文档 ⬇️下载最新版本

快速开始

像数 1, 2, 3 一样容易

# 启动服务
./pocassist

# 浏览器访问 
http://127.0.0.1:1231

建议使用pocassistdb作为漏洞库。⬇️下载漏洞库最新版本,并在config.yaml sqlite项配置路径。

Demo

登录页

登录页

规则首页

规则首页

规则详情

规则详情

支持一键导入xray规则

upload-yaml

单条规则靶机测试

单条规则靶机测试

漏洞描述首页

漏洞描述首页

漏洞描述详情

漏洞描述详情

新建批量扫描任务

新建扫描任务

任务状态

任务首页

扫描结果

扫描结果

结果首页

结果首页

组件首页

组件首页

常见问题

  1. 自定义配置。pocassist首次运行时将在当前目录生成config.yaml,引擎启动后实时监控配置文件变化,配置文件修改后无需重启,即热加载
  2. 用户名密码错误:检查数据库配置,以及数据库auth表。建议使用pocassistdb作为漏洞库
  3. 支持前后端分离部署。前端源码、nginx配置示例可参考pocassistweb
  4. 其他使用问题请先阅读使用文档

免责声明

未经授权,使用pocassist攻击目标是非法的。pocassist仅用于安全测试目的。为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。

404StarLink 2.0 - Galaxy

pocassist 是 404Team 星链计划2.0 中的一环,如果对 pocassist 有任何疑问又或是想要找小伙伴交流,可以参考星链计划的加群方式。

Stargazers

如果您觉得本项目对您有所帮助,请不要吝啬一个⭐哦!

Stargazers over time

参考项目