SRX 2.0.1 鬼灭 × 大哥没有输 !

Full Changelog: v2.0.0...v2.0.1

紧急发布修复 BUG 的小版本 ~
解决 afrog 线程池经常卡死 BUG（紧急）

Release 2.0.0 等待的男孩

Full Changelog: v1.3.9...v2.0.0

• 修复 afrog 后台执行命令失败 BUG
• 优化 afrog 稳定性，完善 URL 存活验证和扫描进度检查
• 优化 afrog 用户体验，控制台进度显示新增 hosts、closed、time
• 感谢 交流群@腊子鸡 及时反馈新版本【严重】漏洞，该漏洞由 target 黑名单逻辑判断不严谨导致，现已修复并上传至GITHUB，请大家广而告之并重新下载

Release 1.3.9 不走完美

Full Changelog: v1.3.8...v1.3.9

• 新增 参数 --ss / --scan-stable 默认值 1 (default)、2、 3，ss 值越大扫描越稳定（准确）
• 新增 参数 --pp / --printpocs 打印 PoC 列表
• 更新 指纹库 web_fingerprint_v3
• 解决 控制台 URL 打印不完整 BUG
• 解决 部分 PoC BUG

Release 1.3.8 喜欢红色

Full Changelog: v1.3.7...v1.3.8

• 升级到 Golang 1.19
• 升级到最新 Fingerprint 指纹库
• 修复程序卡进度 99% 问题
• 修改 pocsizewaitgroup 默认值为 25
• afrog-config.yaml 一经生成不会被覆盖，请手动修改 pocsizewaitgroup = 25
• 修改 dial_timeout/read_timeout/write_timeout 等参数的默认值
• 优化 PoC nacos-v1-auth-bypass 感谢 执着@交流群
• 优化 PoC solr-log4j-rce.yaml 止水$@交流群
• 优化 PoC CVE-2021-26084 茄子～@交流群
• 累计 PoC 总数 684

Release 1.3.7 把你宠坏

• [新增] socks/http(s) 代理
  http 代理 proxy: "localhost:1080" 或 proxy: "username:password@localhost:1080"
socks 代理 proxy: "socks4://localhost:10808" 或 proxy: "socks5://localhost:10808"
• [优化] 并发机制，牺牲扫描速度，减少漏报
  感谢 A1@交流群 反馈 afrog 批量扫描存在漏报问题
• [修复] 自定义UA 失效问题
  感谢 %3c%3e@交流群 反馈自定义 UA 失效问题
• [优化] 部分 PoC 调低漏洞等级
• [删除] PoC rsync-unauth

Release 1.3.6 漫天星辰

Full Changelog: v1.3.5...v1.3.6

• [add] gitee 更新 afrog-pocs
• [add] 自动识别 http(s)
• [add] target 存活验证
• [add] console Print 实时显示指纹识别结果
• [update] change sizedwaitgroup to ants
• [update] 更新 fingerprint 指纹库
• [fixed] 解决 gbk 编码导致 PoC 漏报问题
• [bug] 修复 99% 卡住问题
• [bug] 修复 GoPoC Console Print 不显示 target
• [delete] tongda-insert-sql-inject poc
• [poc] 新增 PoC 33 个，共 656 个

Release 1.3.5 真的想你

新增

• 支持 go 语言 PoC 开发
• 新增 夏日清爽皮肤 漏洞报告模板
• console print 漏洞会显示完整 URL
• 新增 72 个 PoC，共 626 个 PoC

BUG

• 修复 tongda-insert-sql-inject.yaml 误报 BUG
• 修复 landray-oa-syssearchmain-rce.yaml 误报 BUG

漏洞 72

• Redis 未授权访问
• MongoDB 未授权访问
• Memcache 未授权访问
• ZooKeeper 未授权访问
• Rsync 未授权访问
• Docker Remote Api 未授权访问
• ClickHouse Api 未授权访问
• Apache Tomcat AJP 文件读取与包含漏洞
• Git / SVN 代码托管泄漏
• CVE / CNVD / Disclosure / Unauthorized / Vulnerability ...
  等等，详见：https://github.com/zan8in/afrog/blob/main/POCLIST.md

Release 1.3.4 人生如戏.戏如梦

Full Changelog: v1.3.3...v1.3.4

更新内容：

增加了一些功能

• 自定义漏洞等级扫描 PoC 命令：--severity -S value ，比如：-S info,low,medium,high,critical (多个用英文逗号隔开)
• 增加用户体验，优化 --up 命令的提示语

修复了一些问题

• 修复 泛微OA E-Bridge saveYZJFile 任意文件读取 Linux 系统无法扫出漏洞的 BUG

新增以下漏洞(内置) PoC，更新后即可自动加载

• 用友 GRP-U8 Proxy SQL注入
• 帆软报表 V8 get_geo_json 任意文件读取漏洞
• 泛微OA E-Cology LoginSSO.jsp SQL注入漏洞
• 泛微OA E-Office UploadFile.php 任意文件上传漏洞
• 致远OA A8 htmlofficeservlet 任意文件上传漏洞
• Apache APISIX 默认密钥漏洞
• Hikvision IP camera/NVR - Unauthenticated RCE
• kkFileView getCorsFile 任意文件读取漏洞
• Telesquare SDT-CW3B1 admin.cgi 远程命令执行漏洞
• Atlassian Confluence OGNL注入漏洞
• SolarView Compact conf_mail.php 远程命令执行漏洞
• Zyxel Firewall - OS Command Injection
• FanRuanOA-detect
• JavaMelody Monitoring Exposed
• 泛微OA E-Office officeserver.php 任意文件读取漏洞
• 帆软报表 V9 design_save_svg 任意文件覆盖文件上传
• Fastjson 1.2.24 Deserialization RCE
• Fastjson 1.2.41 Deserialization RCE
• Fastjson 1.2.42 Deserialization RCE
• Fastjson 1.2.43 Deserialization RCE
• Fastjson 1.2.47 Deserialization RCE
• Fastjson 1.2.62 Deserialization RCE
• Fastjson 1.2.67 Deserialization RCE
• Fastjson 1.2.68 Deserialization RCE
• 红帆OA ioFileExport.aspx 任意文件读取漏洞
• 金和OA C6 download.jsp 任意文件读取漏洞
• 金山 V8 终端安全系统 pdf_maker.php 命令执行漏洞
• 蓝凌OA admin.do JNDI远程命令执行
• 华天动力OA 8000版 workFlowService SQL注入漏洞
• 致远OA A6 config.jsp 敏感信息泄漏漏洞
• 致远OA A6 createMysql.jsp 数据库敏感信息泄露
• 致远OA A6 setextno.jsp SQL注入漏洞
• 致远OA A8 status.jsp 信息泄露漏洞
• 智明 SmartOA EmailDownload.ashx 任意文件下载漏洞
• 通达OA v11.6 insert SQL注入漏洞
• 通达OA v11.5 logincheck_code.php 登陆绕过漏洞
• Office Anywhere TongDa - Path Traversal
• 通达OA v11.6 report_bi.func.php SQL注入漏洞
• 通达OA v11.5 swfupload_new.php SQL注入漏洞
• 通达OA User Session Disclosure
• 通达OA v2014 get_contactlist.php 敏感信息泄漏漏洞
• 通达OA v2017 action_upload.php 任意文件上传漏洞
• 万户OA download_ftp.jsp 任意文件下载漏洞
• 万户OA download_old.jsp 任意文件下载漏洞
• 万户OA downloadhttp.jsp 任意文件下载漏洞
• 万户OA smartUpload.jsp 任意文件上传漏洞
• 一米OA getfile.jsp 任意文件读取漏洞
• 用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞

Release 1.3.3 今年夏天

Full Changelog: v1.3.2...v1.3.3
新增功能：
--search keyword 或 -s keyword 命令，按关键字 keyword 扫描 PoC 漏洞
举例：
扫描含有 phpinfo 和 tomcat 关键字的所有 PoC 漏洞（多个条件用英文逗号隔开）

afrog -t 127.0.0.1  -s phpinfo,tomcat

修改功能：
现在不会自动更新 afrog-pocs，需要使用 --up 命令手动更新

MX 1.3.2 内置PoC版（强烈推荐）

Full Changelog: v1.3.1...v1.3.2

• 新增功能：Fingerprint 指纹识别功能，禁止扫描指纹，使用 --nf 命令
• 新增功能：现在 PoC 内置在编译后的程序里（内网渗透小伙伴高兴拉），~/afrog-pocs 仍保留，作用是实时同步最新的 PoC
• 功能变化：现在会自动生成报告，也支持 -o 自定义报告名
• 功能变化：USAGE 改为随机 TIPS，禁止 tips 显示，使用 --nt 命令
• 功能变化：Afrog Report 报告，增加日期和免责声明链接
• 功能变化：源码 afrog-pocs 目录移动到 pocs/afrog-pocs