文章总结： 文章讲解利用yakit与httpx快速批量刷nday漏洞的实战流程。首先通过fofa指纹及时间语法收集资产，利用httpx探测存活与特定路径，接着使用yakit的WebFuzzer功能加载资产列表批量发送poc请求，实现高效自动化漏洞验证与目标提取。 综合评分： 77 文章分类： 渗透测试,安全工具,漏洞POC,WEB安全

如何找到很久之前的资产呢？

after="2024-01-01" && before="2024-12-31"

02

—

快速批量测nday

得到大量资产之后，我们就要开始批量刷漏洞了如何批量刷呢？

存活探测：存在大量目标的时候，可以过一遍存活，对存在漏洞path的站点进行识别。

./httpx -path "/api/v1/userlist" -mc 200 -l url1.txt -bp 20

-mc 过滤响应状态码-bp n 显示响应内容前n个字符

然后就把得到的列表进行批量测试。

把得到的存活资产做一下ip:port，构造成正常请求的host的格式

然后使用yakit构造好漏洞请求包

host位置插入我们弄好的资产列表，然后引入字典即可

然后就fayadehuo~

我们就可以很快的得到具体的漏洞利用请求响应，并且还可以使用yakit的数据提取功能，匹配有效内容。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：什么安全Sec 混饭吃的混子 混饭吃的混子《抢先一步刷通nday》