0x1 AutoCVE专门挖掘 CVE 的 Agent前天公众号发的一篇AutoCVE工具挖CVE的文章看到了很多师傅对这个蛮感兴趣的也是有师傅反馈通过这个AI Agent挖到了对应的CVE漏洞文章链接https://mp.weixin.qq.com/s/nw8I6whHo8B3971U7s0i5w工具GitHub项目地址链接大家觉得工具不错的可以点个⭐️https://github.com/larlarua/AutoCVE0x2 CVE漏洞简介CVECommon Vulnerabilities and Exposures的全称是公共漏洞和暴露是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息进而根据漏洞评分确定漏洞解决的优先级。在CVE中每个漏洞按CVE-2024-0067、CVE-2024-10011、CVE-2024-10021这样的形式编号。CVE编号是识别漏洞的唯一标识符。CVE编号由CVE编号机构CVE Numbering AuthorityCNA分配CVE编号机构主要由IT供应商、安全厂商和安全研究组织承担。CVE官方网站链接地址https://www.cve.org/img0x3 如何找CVE对应的资产一、CVE和CNA平台CVE的资产范围其实主要是看你提交到CVE对应的哪个平台最开始只是CVE官方平台到后面随着漏洞提交数量变多CVE平台就增加了很多下面的单位也有对应的审核CVE漏洞并且给对应CVE漏洞编号的权利。但是随着漏洞数量的增加MITRE将漏洞编号的赋予工作转移到了其CNACVE Numbering Authorities成员。CNA涵盖5类成员。目前共有69家成员单位。1.MITRE可为所有漏洞赋予CVE编号2.软件或设备厂商如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。3.研究机构如Airbus可以为第三方产品漏洞分配编号4.漏洞奖金项目如HackerOne为其覆盖的漏洞赋予CVE编号5.国家级或行业级CERT如ICS-CERT、CERT/CC与其漏洞协调角色相关的漏洞。但是不同的下面单位收录的公司资产范围不一样就比如国内常用于提交CVE的VDB平台https://vuldb.com/zh/img我在这个平台提交了很多通用型的漏洞小公司的都没有收且漏洞危害不行的也没有收收了我几个通用型高危漏洞比如SQL注入、文件上传之类的。img给师傅们看下我被拒绝的都是什么理由反正目前我收到的都是说资产不属于他们这边的让我提交到CVE官方平台审核但是一般直接提交到CVE那边审核时间周期比较长相对于这个提交到CNA这些下面单位审核速度会比较快一般1-2个星期就可以审核了。二、找什么资产漏洞1、CMS源代码审计漏洞首先网上很多思路都是说在github上寻找开源cms进行代码审计 或者百度查找开源cms进行代码审计。这个很多人都是这样的思路那么肯定很多漏洞被挖了且这个要考验师傅们的代码审计功底这对很多白帽师傅不是很擅长。但是这里我前面还是会给师傅们分享下如何找网上公开的 cms框架系统进行代码审计最近的的方法就是直接在GitHub搜cms即可下面都是github开源可以下载的源码且对应的各种不同的语言看师傅们自己选择即可了。img随便点进去一个下载对应的CMS系统源码即可从而审计或者直接交黑盒测试的POC都可以获得CVE编号。img这里分享几个别的平台下载源码的平台供师傅们使用https://down.chinaz.com/class/5_1.htmhttps://www.yydsym.com/codehttps://www.jeecg.com/doc/downloadimg还有就是直接使用Google浏览器、百度浏览器搜img2、CNVD思路其实挖CVE跟CNVD差不多的只不过对于一些资产要求在国外有些影响力的那种资产才收跟CNVD要求提交的通用型漏洞得满足实缴5000万资产一样的这里拿国内某大公司CRM系统来举例这个公司资产大家可以去CVE搜下肯定是有对应的CVE漏洞的提交记录。所以大家要是不知道这个公司在CVE收不收的情况下大家可以先理由Google浏览器搜索下。还有一种就是可以直接拿exploit-db漏洞平台和CVE官方平台进行搜索看看有没有人交且看看有没有人提交对应系统的漏洞这样就可以避免漏洞的重复了。exploit-db漏洞平台地址https://www.exploit-db.com/img相关查重问题在CVE官方平台,链接https://www.cve.org/CVERecord/SearchResults?queryimg对于资产师傅们可以参考CNVD的来像下面的 好几个亿的资产缴纳且公司的影响范围比较大相关系统资产也多大概率那边都是收的。img然后找对应的公司资产的话就可以直接在知识产权里面找例如下图img像这里面的系统都是可以进行测试的一般都是可以利用空间搜素引擎进行检索然后去挨个找漏洞找到了就可以再去利用搜素引擎进行检索关键字进行模糊匹配然后打个通杀漏洞就可以提交给CVE平台了。像这个公司的一个CRM系统资产在国外也有蛮多的系统使用提交到CVE基本上都是会收的。img0x4 GitHub创建public漏洞复现文档打开GitHub地址https://github.com/先使用自己的个人信息邮箱等注册GitHub的账号。img先在GitHub注册完成以后然后在主页的右边点击新建仓库。img新建一个以CVE命名的仓库即可这里最重要的就是下面要选择公共可见也就是public。img然后点击议题再点击创建议题即可进行写漏洞复现报告了。img但是漏洞复现的报告必须得是全英文的因为老外看不懂中文。img写完英文版本的漏洞复现以后直接选择这个的复制后面需要提交GitHub的漏洞复现地址。img0x5 CVE漏洞提交一、CVE官方平台提交我这里在文章中会给师傅们手把手教两种平台方式提交的步骤都非常详细其中也包括我踩过的一些坑等。第一种先介绍下直接在CVE官方平台提交网上这个方法也是最多的因为最先开始就是在这个平台提交但是这个提交审核流程周期很长优点是收录的公司资产范围广。漏洞提交网站https://cveform.mitre.org/img申请表中会要求填写漏洞类型、产品厂商、受影响产品或代码及版本、厂商是否已确认该漏洞、攻击类型、影响类型、受影响组件、攻击方法或利用方法、CVE描述建议等。1、选择下面这个意思是填申请表申请CVE编号然后下面填写自己的邮箱。2、填写1也就是申请一个CVE编号下面两个都勾选上。img3、提交对应漏洞详细信息具体看截屏。img4、再下一步选择内容看下面的截屏。img5、这里最重要的就是GitHub的漏洞复现地址建议使用GitHub的。img填写好验证码提交即可 提交后一般马上会收到官方的确认邮件说明那边已经收到你的邮件了后面等着官方进行CVE漏洞审核即可。img二、VDB(CNA成员单位)平台提交这里第二种提交方式就是在VDB平台提交网站地址https://vuldb.com/zh/。img点击下面的添加按钮进行CVE漏洞提交。img这里因为是中文了跟上面添加CVE漏洞一样最下面的描述就是填漏洞的一个简单描述用于后面CVE漏洞描述。img最下面这个直接填写GitHub的漏洞复现地址 即可。img提交完漏洞后VDB官方会发邮件过来。img大概一两天内VDB会先进行一遍资产审核看看该漏洞资产范围是不是属于那边的要不然就会直接pass意思是让你提交到别的CNA成员单位或者提交到CVE平台。img邮件内容img0x6 CVE漏洞通过申请公开cve编号一、CVE漏洞通过通过上面一系列的漏洞提交操作剩下的就是等着CVE平台审核通过了我这里以VDB平台审核通过为例给师傅们演示下正好今天通过了三个CVE通用型漏洞。imgVDB漏洞通过之后会给你发一封邮件意思就是说漏洞已经通过了且帮你成功申请了CVE漏洞编号。img二、申请公开cve编号获取cve编号之后别人是查询不到的因为没有公开。接下来申请公开cve编号网站https://cveform.mitre.org/选择公开cve编号。输入自己的邮箱。img详细的相关操作直接看我下面的 这张截屏即可。img提交完成后显示的CVE界面。img然后会给我们发送一封邮件意思就是说那边已经收到我们申请公开CVE编号了那边等待审核。imgimg后面CVE会发一封邮件过来提示你申请的CVE编号已经成功公开并且可以查询了查询CVE编号网站https://www.cve.org/CVERecord?idimg通用型的系统SQL注入漏洞CVSS给评分了高危。