pocsuite3安全工具源码分析

pocsuite3 是由知道创宇 404实验室开发维护的开源远程漏洞测试和概念验证开发框架。为了更好理解其运行逻辑，本文将从源码角度分析该项目的初始化，多线程函数，poc模板等等源码

项目结构

api：对要导入的包重命名，方便后续导入调用
data：存储用户需要使用的文档数据
lib：项目核心代码
modules：存储用户自定义的模块
plugins：存储用户自定义的插件
pocs：存储poc文件
shellcodes：存储生成php，java，python等脚本语言的利用代码，以及反弹shell的利用代码
cli.py：项目的入口
console.py：命令行界面

进入项目入口：/pocsuite3/cli.py

check_environment() #检查当前工作目录是否符合当前系统
set_paths(). #设置后续需要用到的数据，目录信息
banner() #打印命令行页面的横幅

init_options(cmd_line_parser().__dict__) # 命令行参数处理
跟进cmd_line_parser()查看：

此处注意一个参数-c

target.add_argument("-c", dest="configFile", help="Load options
from a configuration INI file")

可以先在pocsuite.ini配置好参数，通过pocsuite -c pocsuite.ini 运行

双重跟进init_options()，找到命令行存储参数：

可见采用了类似字典的形式存储，避免了重复数据
且还有其它四个参数也采用了该形式存储，五个参数贯穿整个项目

【----帮助网安学习，以下所有学习资料加vx：yj520400，备注“思否”获取！】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

conf：存储基本配置信息
kb：存储了目标地址、加载的PoC、运行模式、输出结果、加载的PoC文件地址、多线程信息等
cmd_line_options：是存储命令行输入的参数值
merged_options：存储输入值与默认值合并后的结果
paths：存储数据、插件、poc等目录地址

参数获取处理完后，进入项目初始化，init()函数，一下对部分函数进行注解分析：

def init():

"""

Set attributes into both configuration and knowledge base singletons

based upon command line and configuration file options.

"""

set_verbosity() #日志输出级别设置

_adjust_logging_formatter() #调整日志格式器

_cleanup_options() #将各个配置项格式化，并校验合法性

_basic_option_validation() #校验seebug,zoomeye等api,token的合法性

_create_directory() #检测文件路径是否存在，不存在则创建

_init_kb_comparison()

update()

_set_multiple_targets() #读取目标

_set_user_pocs_path()

_set_pocs_modules() #动态加载poc

_set_plugins() #动态加载插件

_init_targets_plugins()

_init_pocs_plugins()

_set_task_queue() #初始化多线程设置

_init_results_plugins() #初始化输出插件

AttribDict类解析

前文也提到过以下五个全局变量，它们均通过创建AttribDict类的实例进行使用，现在我们跟进类详细分析：

AttribDict()类：

自定义类，继承自python内建的OrderedDict类，扩展访问方式，简化了对字典键的访问。
主要存在三个方法：__getattr__(),__setattr__(),__delattr__()
这三个方法在if判断逻辑均相同：
1:以双下划线 __ 开头（例如，Python 的内置属性，如 __dict__）。
2:以 OrderedDict_ 开头（因为 OrderedDict
在内部实现中使用的名称）。
3:名字存在于 exclude_keys 集合中（排除的键）。
如果任一条件成立，说明这个属性不应该通过 obj.attr
访问，所以跳过使用自定义的 getattr
处理，直接调用父类对应的方法访问。
例：__getattr__()就调用父类的__getattribute__()访问

如果属性名不满足，则通过字典的方式，添加或者删除AttribDict中

地址处理代码分析

先查看存储初始数据，存在则进行下一步。
通过set()创建集合方便去重，再遍历conf.url数据，通过parde_target()进行对url进行分析处理，并且在不为空的情况下调用集合的add()方法添加，完成后再将，用于临时存储的target集合里面的数据，放到kb这种全局变量内。
parde_target()函数

接受参数后先if判断，如果是域名，url，ip:端口形式则直接赋值给target
跟进其中一个判断函数：

跟进：

可见是通过正则进行判断。
接着再判断如果为http://ipv6形式，则启动ipv6配置，并进行赋值target，依旧是正则判断。

再判断如果为ipv4则调用python内置ip_address解析赋值，该方法自动区分ipv4或者ipv6并最后返回对应的对象。
再通过else判断，对纯ipv6地址，或者ipv6网络进行解析赋值。

动态poc加载

Step1：从pocs目录加载
先通过os.listdir读取对应目录，返回一个含有poc的py文件的列表。
再通过filter()函数过滤__init__.之类文件，不过此时filter()函数返回的是一个迭代器，所以又通过list()函数将数据处理成列表再赋值。
（lambda x: x not in ['__init__.py',
'__init__.pyc']：这个匿名函数会检查每个文件名 x 是否不等于
'__init__.py' 或 '__init__.pyc'。）

再从含有类似thinkphp_poc.py的文件名中，通过x变量循环读取，并通过splitex()函数将其分为"thinkphp_poc",".py"格式的键值队元组。再次通过dict()字典函数，将x元组的第一个元素作为字典的键，第二个元素作为字典的值。

如果poc是目录，则使用 os.walk() 递归遍历该目录下的所有文件，过滤出 .py
或 .yaml 文件，并将其完整路径添加到 _pocs 列表中。

Step2：遍历加载 PoC 文件内容并检查，并对加载失败的poc进行日志记录。

Step3：最后从 Seebug 网站加载 PoC。

poc模版
跟据目录找到现存poc：pocsuite3/pocs，thinkphp_rce为例

所有模版均是继承自父类POCBase，跟进：

父类在初始化时便设置了一系列可能用到的属性，例如自定义headers，目标url，端口等等。
这里关注execute()函数

self.url处采用if判断：如果为http协议则采用parse_target_url()解析，else采用build_url()解析：
mode值默认为verify。
随后调用_execute()根据mode值执行。

_shell()，_attack()，_verify()均需自定义重写。
回到例thinkphp_rce例子：
_verify()函数如下：

调用了_check()函数进行检验：

通过request.post()发送设置好payload的请求，根据返回包关键字判断是否成功。（flag自定义）
返回的结果在_verify()函数又会调用parse_output()转化为json格式输出。

动态核心load_file_to_module()
继续分析_set_pocs_modules()

将读取文件切割为文件名和后缀名，根据后缀名重构路径file_pth，if判断file_path构建成功则进入红框代码处。

通过get_filename()从file_path路径提取文件名，由于wuth.ext=False，则不提取文件名后缀，提取后拼接在pocs_后并赋值给module，例如：pocs_thinkphp_rce。
随后三行代码涉及到python中动态模块加载知识：

spec = importlib.util.spec_from_file_location(module_name, file_path,
loader=PocLoader(module_name, file_path))

创建模块规格，采用自定义加载器类加载模块，loader:加载器对象，负责如何从文件加载模块

mod = importlib.util.module_from_spec(spec)#根据规格创建模块对象

spec.loader.exec_module(mod) #执行模块代码，确保为完整可用的模块

动态模块注解：

模块是包含 Python 代码的文件，可以通过 import
语句加载并使用。通常，当你使用 import 语句导入一个模块时，Python
会根据模块的名称查找相应的文件（如 .py 文件），并将其加载到内存中。

然而，在一些特殊的情况下，比如动态加载模块或运行时创建模块，我们需要用到
importlib 模块。importlib
提供了一些工具，可以帮助我们在运行时加载模块，而不是在编写代码时静态地导入。

例如：importlib.util.spec_from_file_location

spec（模块加载规格）描述了如何加载一个模块。它定义了如何找到模块代码，如何加载它，以及加载时需要的一些元数据。类似于说明书，它告诉
Python 模块在哪里、叫什么名字、以及如何加载它。

接着看看是如何调用loader加载器的exec_module()函数进行加载的：

filename接受poc绝对路径，poc_code接受poc文件内容。
随后调用check_requires()检查代码运行中需要的包，通过__import__函数导入。
compile()为python内置函数，将源代码字符串poc_code编译为字节码，'exec'这是一个编译模式，表示代码将作为一段可执行的代码被执行。常见的编译模式有
'eval'（用于单个表达式）和 'exec'（用于整个代码块）
之后再调用exec()函数执行字节码对象obj当中的代码，并绑定到module.__dict__上，这样就可以通过module.函数()直接调用poc_code当中的函数。

多线程与输出加载

跟进：_set_task_queue()

if判断，poc模版与目标ip均不为空情况下，遍历出poc_module与target。并将它们组成元组，加入kb.task_queue中，确保数据在线程安全传输。

start()函数

调用runtime_check()检查poc是否加载成功：

再调用python标准库中的queue.Queue类的qsize()方法，获取先前kb.task_queue队列的任务数量。
run_threads()函数
随后进入start()函数核心：run_threads(conf.threads, task_run)：
该函数传入线程数conf.threads()，与多线程执行函数task_run()。

这个函数的目的是启动多个线程并执行给定的函数
thread_function。
num_threads: 需要启动的线程数量。
thread_function: 要在线程中运行的目标函数。
args: 传递给 thread_function 的参数，默认为空元组。
forward_exception: 控制是否在捕获异常后继续传播异常，默认值为 True。
start_msg: 控制是否输出启动线程的消息，默认值为 True。

先threads = []创建空列表，用来存储后续的线程实例

随后进行线程数检查，如果大于1，则是多线程，并在线程数超过max时发出告警提示，线程不大于1，则直接执行函数