省时挖洞利器,批量自动化挖掘

admin 2022年7月8日18:55:34安全文章评论17 views962字阅读3分12秒阅读模式

日常漏洞挖掘过程中面对收集到的大量资产,在手工测试过程中也会借助工具进行扫描,这样能把主要精力放在相关业务测试上,而面对如此之多的资产不可能将域名逐一导入到工具当中,此篇文章主要介绍三种借 python 脚本实现批量自动化方式

0x00

自动化前的资产收集

演示前先拿fofa收集到的资产进行演示

使用前需在同目录下创建ip.txt,脚本会将收集到的域名在ip.txt进行保存

省时挖洞利器,批量自动化挖掘

爬出的域名列表:

省时挖洞利器,批量自动化挖掘

0x01

xray批量化脚本

注意事项:

1.使用前需在脚本同目录下创建xray_url.txt,将收集到的域名放在xray_url.txt进行保存

2.设置好xray_windows_amd64.exe为本机位置,使用python直接调用xray.py,便可实现对收集到的url进行批量扫描

省时挖洞利器,批量自动化挖掘

效果图:

省时挖洞利器,批量自动化挖掘

0x02

awvs批量化脚本

注意事项:

1.使用前需在脚本同目录下创建url.txt,将收集到的域名放到url.txt进行保存

2.url地址设置为awvs本机服务地址,默认与原文相同

3.Api Key值位置

省时挖洞利器,批量自动化挖掘

省时挖洞利器,批量自动化挖掘

效果图:

省时挖洞利器,批量自动化挖掘

0x03

Xray与AWVS联动批量化自动化脚本

注意事项:

1.使用前需在脚本同目录下创建url.txt,将收集到的域名放到url.txt进行保存

2.url地址设置为awvs本机服务地址,默认与原文相同

3.Api Key值位置(上文有图)

省时挖洞利器,批量自动化挖掘

与前文不同的是awvs服务地址和api_key需在awvs_config.ini设置

原理:

awvs 的爬虫很好用,xray扫描速度快,将awvs爬取的流量批量转发至xray被动扫描代理ip及端口,这样awvs负责爬虫,xray负责漏洞监测

演示:

1.开启Xray的被动扫描,记住这里被动扫描的IP及端口,等下要用

省时挖洞利器,批量自动化挖掘

2.启动脚本,分别选择数字1和数字6,监听的IP地址和端口和刚刚xray设置的相同即可

省时挖洞利器,批量自动化挖掘

效果图:

省时挖洞利器,批量自动化挖掘

总结

AWVS批量自动化最好用,联动不如不联动.联动纯纯花里胡哨

省时挖洞利器,批量自动化挖掘

获取本文脚本下载地址后台回复:AutomatedScan

昆仑云安全实验室系列文章仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担!!!

昆仑云安全实验室拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!!!

原文始发于微信公众号(昆仑云安全):省时挖洞利器,批量自动化挖掘

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日18:55:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  省时挖洞利器,批量自动化挖掘 http://cn-sec.com/archives/1166866.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: