【渗透测试】CVEAP自动监控Github

技术文章

项目地址:

1
https://github.com/HackerDev-Felix/CVEAP

项目描述:

1
自动监控Github上面的漏洞、PoC、红队等信息,将信息推送到邮箱、钉钉、Tg群、Server酱

食用方式

首先打开代码,作者的逻辑很清晰:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
my_sender = ''  # 发件人邮箱账号
      my_pass = ''  # 发件人邮箱授权码 / 腾讯企业邮箱请使用登陆密码
      recipients = ''  # 收件人邮箱账号
      # 内容
      msg = MIMEText('{}\\r\\n{}'.format(text, msg), 'plain', 'utf-8')
      # [发件人邮箱昵称、发件人邮箱账号], 昵称随便
      msg['From'] = formataddr([text, my_sender])
      # [收件人邮箱昵称、收件人邮箱账号], 昵称随便
      msg['To'] = formataddr(["推送目标", recipients])

      # 邮件的主题、标题
      msg['Subject'] = "漏洞武器库该更新啦!!!"

      # 用的腾讯企业邮箱做的测试   如果要用其他邮箱的话
      # 用其他邮箱作为发件人的话,请将"smtp.exmail.qq.com" 修改为 "xxxxxxxxxx.xxxx.com"
      # 发件人邮箱中的SMTP服务器端口  我这里是腾讯企业邮箱465  请查看自己的SMTP服务器端口号
      server = smtplib.SMTP_SSL("smtp.exmail.qq.com", 465)
      server.login(my_sender, my_pass)
      server.sendmail(my_sender, recipients, msg.as_string())
      server.quit()  # 关闭连接
      print("邮件发送成功")
  except Exception as e:
      print("邮件发送失败: ", e)

我们只需要设置发件人邮箱账号和收件人邮箱账号即可,发件人这里推荐作者默认的企业邮箱。

邮箱推送的效果:

Untitled

然后我们再看推送功能:

Untitled

这部分定义了几个推送功能,有钉钉、pushplus、Server酱、tg机器人,不需要全部设置。

结尾部分给出了推送选项

Untitled

Untitled

我平时用的是企业微信,如果放在钉钉的话还是比较麻烦的,那么能不能增加推送到企微里面呢。

企微机器人也是带着webhook的。

首先建立群聊,建立群聊机器人,获取机器人的webhook地址,根据机器人的规则,我们推送的数据格式如下:

1
2
3
4
5
6
{
    "msgtype": "text",
    "text": {
        "content": msg
        }
   }

再结合webhook进行调用,代码就出来了:

1
2
3
4
5
6
7
8
9
10
11
12
13
def qyweixin(msg):
    webhook = 'webhook here'
    data =   {
    "msgtype": "text",
    "text": {
        "content": msg
        }
   }
    headers = {
    'Content-Type': 'application/json'
    }

    res = requests.post(url=webhook,headers=headers,data=json.dumps(data),verify=False)

然后在结尾增加一个企微的推送,再次运行,效果如下:

Untitled

以后每天上班时候摸鱼的时候就看看机器人推送的东西,何乐不为呢。