一文教你如何在安全圈做更新POC的大佬

引言

起因是一位朋友给我推荐了一个公众号:
2024-01-17T20:25:56.png
我点开一看,好家伙,更新poc的,仔细一看不太对劲,怎么这些漏洞好像都见过了(以下截图来自不同公众号)
2024-01-17T20:26:38.png
2024-01-17T20:30:50.png
前半个月我自己公众号的截图:
2024-01-17T20:27:26.png
已经开设了知识星球专业更新poc的公众号:
2024-01-17T20:28:17.png
emmmm,看到这里是不是心动了,好多poc,是不是想着就算不是0day,交钱进去当个poc库也不是不行。那么能不能不花钱?甚至自己做一个一样的公众号?
本文将解答你的疑问,揭秘如何在安全圈毫无技术,毫无人脉一样在小白眼里做poc大牛

前期准备

众所周知,要做poc大牛,肯定要有很多poc,还不能是太老掉牙的,所以我们需要找到我们自己的poc库,但我们一没技术,二没人脉咋整?没关系,我教你,看这些大佬发的文章了吗?
2024-01-17T20:29:02.png
注意看时间:1月17号更新的,热乎的呢,我们直接把标题扔进搜索引擎。
这里需要注意下,不要把整个标题都扔进搜索引擎,我们需要截取关键字,以图为例,我们截取出”likeshop“,”任意文件上传”,”CVE-2024-0352“等关键字,直接搜!
2024-01-17T20:29:24.png
注意看时间,两天前,也就是16号(本文撰写时间18号凌晨)就已经出现在伟大的百度搜索结果中,甚至还是CSDN里面的,我们直接点进去
2024-01-17T20:29:43.png
可以发现这个作者也在更新poc,还比公众号这边更新得早,那么懂得都懂,如果你会复制poc去打一遍,自己截图发公众号,那么恭喜你,你已经有在安全圈做POC牛的一半能力了。
我们再随便找个公众号文章看看吧
2024-01-17T20:31:46.png
我超,原创漏洞,OA的未授权访问!话不多说,直接开搜,看到这里的兄弟们应该知道如何提取关键字了?
”华天动力OA“、”未授权“
2024-01-17T20:32:07.png
怎么办,这次搜不到啊,别灰心,很多兄弟就是不会转脑筋,我们打开原公众号文章找到POC部分,提取出payload的特征
2024-01-17T20:32:37.png

提问:我们应该截取哪部分去搜索呢?
正确答案:

/OAapp/bfapp/buffalo/hrApplicationFormService

2024-01-17T20:33:09.png
点进一看,七天前发的,POC一毛一样,作者也是一位会更新POC的作者,ok,咱们的又一个POC库。
到这里,大家只需要重复以上操作,用不了多久,大家就可以收集出自己的poc库,自己可以获取到第一手(可能吧,反正比公众号早)更新的poc,再也不用蹲守公众号,交星球费用啦

继续深入

很多同学说,哎呀这样搞稍微懂一点的人都会啦,也就骗骗小白,谁还不会用百度啊?
别着急,我们要做一个安全圈发poc的大牛,光搬运CSDN肯定是不够滴,我们还可以搬国外呀,这年头信息差的钱好赚就好赚在有墙,tiktok搬到抖音,youtube搬到b站/抖音,都是老玩法了,靠这套逻辑发家致富的都不在少数,那么放到我们今天的教学中,就是推特/国外漏洞库搬到微信公众号。
我们首先要知道一个平台,一个极大的漏洞库平台,网址可以公众号后台回复“国外漏洞库”获取,让我们先来看看平台长啥样:
2024-01-17T20:34:10.png
2024-01-17T20:34:23.png
相信很多师傅都已经看出这个平台是什么了,这个平台的漏洞库更新非常快,漏洞非常新,完全足够支撑起一个微信公众号,它甚至还支持RSS订阅,让你在更新的第一时间获取到,这时你随便选择了一个看上去值得发的漏洞

CVE-2024-0655  NOVEL-PLUS 4.3.0-RC1 SQL注入

你不愧是安全圈poc大佬,一出手就是cve2024年的sql注入漏洞!我已经在膜拜你啦!
让我们点开详情看看:
2024-01-17T20:35:35.png
右键新标签页打开github链接:
2024-01-17T20:36:05.png
一览无余,现在你收获了一枚cve编号2024年的还算新的漏洞完整详情,包括影响版本,完整POC,指纹特征等等,还等什么呢,​快去更新你的公众号吧!甚至在公众号领域你是首​发,别人百度搜索和微信搜索​难以找到和你一样的更新啦!
以上漏洞只是随便举个例子,你可以挑一些更好的,公网资产更多的漏洞。
说完这些,相信聪明的小伙伴已经知道如何在推特发现并关注活的poc库啦,关于推特的部分就留给大家自己挖掘吧​。

结语

其实写这篇文章并不是鼓励大家去做搬运,只是希望大家可以自己获取到稍微新一些的poc,不用再傻等别人搬运,等别人搬运只能吃冷饭,自己尽量靠前面点才能吃点稍微新鲜的​。
至于所谓的批量扫描程序,如果您懂一点编程,那您自然会做所谓poc验证软件,无需我多言了,如果您完全不懂编程,您可以花两个小时时间,学习一下python基本语法,和requests库的简单用法,剩下的只管交给GPT即可,判断返回码200永不过时。

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容