Erlik:一个包含了针对SOAP的漏洞学习和研究平台

图片[1]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

关于Erlik:Vulnerable-Soap-Service

Erlik(Vulnerable-Soap-Service)是一个包含了针对SOAP的漏洞学习和研究平台,该项目包含了大量故意留下的SOAP安全漏洞,可以帮助广大研究人员更好地研究和学习Web渗透测试技术。

Erlik同时是一个存在漏洞的SOAP Web服务实验环境,已在Kali 2022.1版本系统上进行过完整测试。

功能介绍

当前版本的Erlik包含了下列漏洞:

LFI本地文件包含漏洞

SQL注入漏洞

信息披露漏洞

命令注入漏洞

暴力破解漏洞

反序列化漏洞

工具安装

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/anil-yelken/Vulnerable-Soap-Service.git

接下来,切换到项目目录,并通过pip3命令和项目提供的requirements.txt文件安装该工具所需的依赖组件:

cd Vulnerable-Soap-Service

sudo pip3 install requirements.txt

工具使用

sudo python3 vulnerable_soap.py
图片[2]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

漏洞利用演示

LFI本地文件包含漏洞

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/lfi.py

图片[3]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

SQL注入漏洞

参考代码:https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/sqli.py

图片[4]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

信息披露漏洞

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/get_logs_information_disclosure.py

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/get_data_information_disclosure.py

图片[5]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室
图片[6]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

命令注入漏洞

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/commandi.py

图片[7]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

暴力破解漏洞

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/brute.py

图片[8]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

反序列化漏洞

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/deserialization_socket.py

参考代码https://github.com/anil-yelken/Vulnerable-Soap-Service/blob/main/deserialization_requests.py

图片[9]-Erlik:一个包含了针对SOAP的漏洞学习和研究平台-NGC660 安全实验室

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Erlik:【GitHub传送门

本文转载于FreeBuf.COM,原作者:Alpha_h4ck 
原地址:Erlik:一个包含了针对SOAP的漏洞学习和研究平台 – FreeBuf网络安全行业门户
若侵权请联系删除

© 版权声明
THE END
喜欢就支持一下吧
点赞12赏点小钱 分享