VTest – 漏洞测试辅助系统

VTest介绍

用于辅助安全工程师漏洞挖掘、测试、复现，集合了mock、httplog、dns tools、xss，可用于测试各类无回显、无法直观判断或特定场景下的漏洞，例如：存储型xss、ssrf、远程代码执行/注入、远程命令执行/注入、文件包含等。

VTest特点

• 使用方便，集成常用的辅助功能
• 零部署难度，python环境中直接运行即可

VTest功能

Mock

自定义http请求返回包，例如以下场景：

• 定义返回内容为php代码，用于测试php远程文件包含漏洞
• 定义301/302跳转，测试SSRF漏洞

DNS Tools

用于辅助判断无法回显的漏洞以及特殊场景下的使用，有如下三种使用方式

• vultest.yourdomain.net，任意多级的子域名解析均会记录显示，可用于各种无回显漏洞的判断、漏洞分析、数据回传
• 10.100.11.22.yourdomain.net 解析结果为 10.100.11.22，用于特殊的漏洞场景的利用（例如某个ssrf限制了域名且判断存在问题，用这个可以方便的遍历内网资源 ）或限制测试
• 66.123.11.11.10.100.11.22.yourdomain.com 首次解析为66.123.11.11，第二次则解析为10.100.11.22，可用于DNS rebinding的漏洞测试

HTTP Log

记录任意HTTP请求详细包，可用于各种无回显漏洞的判断、漏洞分析、信息收集、数据回传

XSS

用于测试储存型xss漏洞

VTest部署

Python2.7 环境

https://github.com/opensec-cn/vtest

VTest界面图