Exploit Arsenal

针对近期 CVE 的干净、无依赖的 Python 3 概念验证 exploit —— 按平台分类，每个都附有简明的说明和实际运行的截图。

每个 PoC 都是一个**独立的单文件脚本**，它将目标详情作为**用户输入** —— 使用命令行标志，并提供交互式提示作为后备方案 —— 因此您可以在几秒钟内将其指向您自己的测试目标。 无需框架，无需 `pip install`，仅需 Python 3 标准库。 ## 🗂️ 分类 ``` exploit-arsenal/ ├── web-application/ # web apps, CMS plugins, APIs ├── linux/ # Linux / kernel local & remote exploits ├── windows/ # Windows exploits ├── macos/ # macOS exploits └── iot/ # IoT / embedded device exploits ``` ## 🌐 Web 应用程序 | CVE | 产品 | 漏洞 | CVSS | 认证 | |-----|---------|---------------|:----:|:----:| | [CVE-2026-0920](web-application/CVE-2026-0920/) | LA-Studio Element Kit (WordPress) | 管理员创建后门 · CWE-269 | 9.8 | 无 | | [CVE-2026-0926](web-application/CVE-2026-0926/) | Prodigy Commerce (WordPress) | 本地文件包含 · CWE-98 | 9.8 | 无 | | [CVE-2026-3584](web-application/CVE-2026-3584/) | Kali Forms (WordPress) | 未认证 RCE · CWE-94 | 10.0 | 无 | | [CVE-2026-1470](web-application/CVE-2026-1470/) | n8n | 沙箱逃逸 RCE · CWE-94 | 9.9 | 需认证 | ## 🐧 Linux · 🪟 Windows · 🍎 macOS · 📡 IoT _即将推出 —— 会定期在各个分类中添加更多 exploit。_ ## 🚀 快速开始 ``` git clone https://github.com/GODofExploit/exploit-arsenal.git cd exploit-arsenal/web-application/CVE-2026-0926 python3 CVE-2026-0926.py --url http://your-test-target ``` 需要认证的 PoC 还会额外接收 `--username` / `--password`（或 exploit 所需的任何参数）。 运行任何脚本并加上 `-h` 即可查看其选项，或者在不加任何标志的情况下运行，系统会逐项提示您输入值。 ## ⚠️ 负责任地使用 提供这些概念验证仅用于**授权的安全测试、研究和教育**。 仅针对您拥有或**获得明确书面许可**进行测试的系统使用它们。 每篇说明都包含了供应商建议的**缓解措施** —— 请优先进行修补。作者不对滥用行为承担任何 责任。 ## 📄 许可证 基于 [MIT 许可证](LICENSE) 发布。

标签：CISA项目, PoC, Python, Web报告查看器, XXE攻击, 无后门, 暴力破解