文章总结： 本文介绍一款名为data-cve-poc的开源工具，能够自动爬取GitHub上的CVE漏洞利用库，具备智能过滤重复样本、清理恶意内容、按年份分类存储等功能。工具通过GitHubAPI查询、正则匹配CVE编号、Star数去重等流程实现自动化收集，适用于安全研究人员参考使用，但需注意样本可能存在投毒风险。 综合评分： 72 文章分类： 漏洞分析,安全工具,WEB安全,渗透测试,安全运营

史诗级安全研究利器横空出世！一个脚本撬动GitHub万千CVE漏洞利用库

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年6月18日 10:48 四川

在小说阅读器读本章

去阅读

免责声明：本文仅做技术分享，请严格遵守相关法律法规，严禁使用本工具从事任何未经授权的渗透测试或安全评估活动。

重点导读核心能力

• 全自动爬取GitHub CVE相关仓库
• 智能过滤重复投毒样本
• 深度清理恶意链接
• 按年份分类存储

重点导读技术架构

PART 01核心模块

cvemapping.go

PART 02数据结构

• RepoDetails：仓库元数据
• GitHubSearchResponse：GitHub API响应
• GitHubRepository：搜索结果条目

PART 03关键流程

GitHub API查询 → 正则匹配CVE编号 → Star数去重 → 深度克隆 → 内容过滤 → 本地存储

重点导读功能特性

PART 04智能过滤

• CVE编号格式验证
• 同CVE多仓库Star数比较
• 排除关键词检测（bit.ly、Download here等）
• 文件大小与数量限制

PART 05自动化清理

克隆完成后自动删除：

• .git目录
• .github目录
• .gitignore
• .gitattributes
• LICENSE
• 包含可疑关键词的Markdown文件

PART 06速率控制

• 页面间3秒间隔
• 触发二级限流后自动暂停1分钟
• 最多返回1000条结果限制处理

重点导读目录结构

data-cve-poc/
├── cvemapping.go    # 主程序
├── 2024/            # 1011个CVE漏洞利用
├── 2025/            # 1119个CVE漏洞利用
└── frog-poc/        # 分类漏洞库
    ├── CVE/
    ├── CNVD/
    ├── default-pwd/
    ├── disclosure/
    ├── fingerprinting/
    ├── unauthorized/
    └── vulnerability/

重点导读使用方式

PART 07安装

bashgo install github.com/XiaomingX/data-cve-poc@latest

PART 08编译

bashgit clone --depth 1 github.com/XiaomingX/data-cve-poc.git
cd data-cve-poc
go install

PART 09命令行参数

| 参数 | 说明 | | — | — | | -github-token | GitHub认证令牌（必填） | | -page | 页码，或输入all获取全部 | | -year | CVE年份（如2024、2025） |

PART 10使用示例

bashecho '"CVE-2024-"' | cvemapping -github-token "TOKEN" -page all -year 2024

重点导读安全说明

• 自动收录样本未经人工审核
• 可能存在恶意投毒风险
• 仅供有安全基础的研究人员参考
• 使用前请自行验证样本安全性

重点导读项目信息

本文介绍的项目开源地址如下：

https://github.com/XiaomingX/data-cve-poc

本公众号非项目作者，仅做技术分享。

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

糖心会员站，网络安全必备网站，包括在线内网靶场、web靶场、src靶场、应急响应靶场，以及各种网安资料、教程、方案模版、以及超级多在线工具，99元包年！详细介绍：棉花糖会员站介绍(26年4月26日版本) ：在线内网靶场、网安资料方案、在线工具全能资源站，看完介绍百分百心动！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《史诗级安全研究利器横空出世！一个脚本撬动GitHub万千CVE漏洞利用库》