Osprey 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
Osprey 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
Osprey 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !

软件简介

Osprey 是由 TCC (斗象能力中心)出品并长期维护的开源漏洞检测框架。

简介

Osprey 是一个可扩展的开源漏洞检测与利用框架(Python3 开发),是 TCC 长期的安全能力与经验的积累形成的一个可用工具,目前被集成应用于企业级安全产品 网藤风险感知-CRS 中。 Osprey 框架可供使用者在渗透测试、漏洞检测、漏洞扫描等场景中应用。框架提供了命令行接口和 Web 接口,可供灵活调用,也可用于构建自己的扫描器。

Osprey —— 鱼鹰,一种善于捕鱼的猛禽,取此命名漏洞盒子 PoC 框架,寓意快、精、准。

安装

从 Git 上获取最新版本的 osprey 代码

$ git clone https://github.com/TophantTechnology/osprey.git

推荐在 Linux 环境下使用,并用 virtualenv 搭建独立的 python3 环境

$ python3 -m venv venv
$ source venv/bin/activate

最小化安装

最小化安装仅提供命令行和一个交互式的 Console 接口,可满足大多数场景下的使用。

$ python setup.py install 

完全安装

安装 osprey 的完整功能,包括命令行工具、 交互式 Console 接口、 Web API 接口。

  • 安装配置 RabbitMQ

  • 安装配置 MongoDB

  • 配置

    settings.py

    1. 使用 MongoDB 作为数据库:use_mongo = True, use_sqlite = False

    2. 填充 RabbitMQ 和 MongoDB 的 URI:mongo_url, CELERY_BROKER

    3. 填写你的 Python3 解释器路径:PROGRAM

  • 安装 Python 包:

$ pip install -r web/requirements.txt

使用

  • 获取帮助列表:

$ python osprey.py --help
  • 最简单的用法,针对一个目标 URL,发起一个 PoC 做检测:

$ python osprey.py -t URL -v POC_ID
  • 使用交互式 Console 接口:

$ python console/osprey-console.py
  • 使用 Web API 接口:

$ gunicorn -b 127.0.0.1:5000 osprey-web:app -w 5
$ celery -A osprey-web.celery worker --concurrency=5 -Q poc-queue -n osprey.%h -Ofair

Docker 使用

可以使用 docker-compose 快速搭建完整的 Osprey 环境(需安装 docker 和 docker-compose)

编译 docker 环境

$ cd docker
$ docker-compose build

运行完整的 osprey 环境

$ docker-compose up -d

访问http://YOUR-IP:5000/,可以看到 osprey Web 部署已完成

利用 docker 搭建 osprey 的 Web 接口下发任务和获取执行结果

$ curl http://127.0.0.1:5000/api/start -d '{"task_id": "TASK_ID", "vid": "vb_ID", "target": "http://x.com/"}'
$ curl http://127.0.0.1:5000/api/result -d '{"task_id": "TASK_ID"}'

osprey 镜像拉取到本地之后,也可以直接通过 docker run 进入容器中(不启用 osprey-web),然后使用命令行工具或交互式 Console 接口

$ docker run -it -v pocs:/opt/osprey/pocs tophant/osprey bash

相关文档

基于 Osprey 编写 PoC,请参考 osprey编写规范和要求说明

要使用 Osprey Web 接口,请参考 osprey-web接口使用说明文档

参考链接

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论 (2)

加载中
安全工程师必备
2019/03/18 13:17
回复
举报
可以稍微介绍一些原理不?对这块兴趣比较大
2019/03/17 23:21
回复
举报
更多评论
暂无内容
发表了博客
2018/02/09 16:04

【树莓派】盒子常见问题处理基础帮助

一.查看盒子服务状态 1.查看所有服务: ps -ef | grep java 2.查看pandion服务 ps -ef | grep pandion 3.查看osprey服务 ps -ef | grep osprey 二.查看盒子服务日志 1.查看pandion日志 tail -f /home/lifeccp/webapp/pandion/logs/pandion.log 2.查看osprey日志 tail -f /home/lifeccp/webapp/osprey/logs/osprey.log 三.查看DICOM文件信息 1.查看整体dicom目录 ls /home/lifeccp/dicom 2.查看盒子收到的dicom图 ls /home/lif...

0
0
发表了博客
2018/03/26 11:41

开源漏洞检测框架收集

https://github.com/We5ter/Scanners-Box 项目简介 Scanners Box是一个集合github平台上的安全行业从业者自研开源扫描器的仓库,包括子域名枚举、数据库漏洞扫描、弱口令或信息泄漏扫描、端口扫描、指纹识别以及其他大型扫描器或模块化扫描器,同时该仓库只收录各位网友自己编写的一般性开源扫描器,类似awvs、nmap、w3af等知名扫描工具不收录。 Osprey 鱼鹰 https://github.com/TophantTechnology/osprey Gourdscan v2.1 被动式...

0
0
发表了博客
2018/02/09 17:09

【树莓派】盒子常见问题处理办法

为了指导组内同学们处理盒子问题,我大致整理了一下盒子相关常见已知问题处理办法,如下: 盒子问题整理: 问题总结: 1.从医疗设备发的图,没有到盒子上来; 先查看pandion的日志,先检查图是否到盒子,确定盒子和医疗设备之间连通性: tail -f/home/lifeccp/webapp/pandion/logs/pandion.log 2.从医疗设备发的图,成功到盒子,但没到云端; 检查osprey日志,确定盒子和云影服务器之间连通性: tail -f/home/lifeccp/webapp/os...

0
0
发表了博客
2018/02/09 14:58

【树莓派】-bash: /usr/local/java/jdk1.8.0_161/bin/java: cannot execute binary file: Exec format error

遇到这样的问题:-bash: /usr/local/java/jdk1.8.0_161/bin/java: cannot execute binary file: Exec format error 原因是: 在 64 位的 Linux 系统中安装了 32 位的 JDK 环境,当前linux系统和所装的kdl版本之间不一致导致。 最简单的解决办法如下: # vim /etc/profile 在文档最后,添加: export PATH="/usr/local/src/java/bin:$PATH" 保存,退出,然后运行: #source /etc/profile vi /etc/profile JAVA_HOME=/usr/loc...

0
0
2015/06/26 14:09

Bringing home a participant

Bringing home a participant of the family unit is such an exciting year. You can't wait to show your dog their rainforest full of love, open space, toys and dish! However, believe it or not, too much of a good thing, too fast can become problematic to use in your dog. Since Quite Unsurpassed Womens Nike Free 3.0 V1 Black Blue On Sale China is now the world's second largest economy, Chinese comp...

0
0
发表了博客
2020/08/03 17:49

STM32固件升级详解(BootLoader)

基础知识 这里以 KEIL 开发环境和 STM32F103RET6 为例。 上电时单片机首先进入复位中断 Reset_Handler,即汇编文件的复位中断处理函数。 并且有一个中断向量表默认存在于 flash 地址开始处。 为什么说是默认呢?这是因为如果没有特殊要求的话很少会去改中断向量表。实际上这个中断向量表是可以更改的。但是在更改向量表之前必须在地址开始处建立一个向量表,因为在复位后,程序默认(硬件决定的)从flash开始的第一个字读取栈指...

0
0
2020/09/15 22:58

有哪些工具可以让嵌入式开发事半功倍?详细盘点工程师必备工具

嵌入式开发就是指在嵌入式操作系统下进行开发,一般常用的系统有μcos,vxworks,linux,android等。当然,对于嵌入式或单片机工程师的利器就是C语言、C++或汇编语言。那么有哪些好工具可以让工作事半功倍呢? 据著名单片机工程师鱼鹰Osprey介绍,首先我学习的是Qt,而要学习Qt就必须学C++,而学了Qt之后发现新公司采用linux开发单片机,涉及到Makefile,还用了GitLab管理代码,所以又简单学习了GitLab的操作,然后发现代码管理...

0
0
发表了博客
2020/03/14 10:20

List of devices getting official LineageOS Roms [ Full ]

http://www.lineageosrom.com/2016/12/list-of-devices-getting-official.html List of Devices Supported by official LineageOS. LineageOS is live now as we all know CyanogenMod is now dead officially and it will be replaced by linegaeOS according to their official blog.That means there will no CyanogenMod rom support for any device in future so Cm14.1 i.e CyanogenMod 14/14.1 is the last CyanogenMod ...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
暂无内容
2 评论
67 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部