0x00 序

首先恭喜CV师傅独立开发的综合扫描器--Csmap在是第十五届全国大学生信息安全竞赛中荣获三等奖。

经过团队的讨论，我们一致决定将团队的首款安全工具Csmap正式发布并开源！（文末附开源地址）

0x01 Csmap简介

Csmap综合扫描器，主要用于蓝队自我资产排查、网站漏洞检测以及红队信息收集、漏洞利用。

本工具是基于yak语言开发，Yak语言体系是国内乃至国际第一门安全研发的垂直语言，专为安全而生，致力于安全能力融合的语言,内置多种网络安全模块。Yak 是一门纯 Golang 的嵌入式语言，一门纯 Golang 实现的基于反射特性的语言，语法在一定程度上保留了 Golang 的风格，甚至可以实现 Golang 语言的对象无缝开放给 Yak 使用的功能。

0x02 功能介绍

Csmap综合扫描器综合了子域名收集、端口扫描、指纹识别、漏洞扫描、网络空间搜索引擎以及目录扫描等功能，并可自动生成扫描报告。 漏洞扫描是内嵌了Nuclei漏扫工具，Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发，具有很强的可配置性、可扩展性和易用性。漏洞检测poc也可以自制，使用YAML开发。

一.子域名收集

子域名收集的目的在安全评估的范围内收集边缘业务的站点，以便于更加全面地对企业网络资产进行安全防护评估。

二.IP扫描

主机存活IP探测，同时也可对端口进行扫描，既支持单一端口扫描，也支持范围端口扫描和默认常用端口扫描。

 

三.指纹识别

指纹扫描嵌套在端口扫描功能中，在进行端口扫描时，获取端口开启的业务信息，方便进行针对性的安全测试。

四.网络空间搜索引擎

提供FOFA、360Quake、Shodan三大网络空间搜索引擎的接口。

 

五.漏洞扫描

漏洞扫描功能内嵌Nuclei漏洞扫描工具，通过批量验证漏洞POC对目标进行安全脆弱性进行测试。

六.目录爆破

工具提供默认常用字典，同时支持自定义字典，对目标进行子目录进行爆破。

 

七.URL爬虫

对目标站点进行URL进行收集。

0x03 后记

作为团队的第一款自主开发的安全工具，我们力求完美，但瑕疵也总是不可避免的，希望各位师傅在体验使用之后能给我们提出宝贵的反馈建议，这能督促我们完善和打磨工具。

各位师傅的宝贵建议可在开源社区提交ISSUE，也欢迎加入我们的微信群进行交流和反馈。

0x04 测试邀请

Csmap还在开发测试GUI版本，由于GUI版本暂时不太稳定，我们决定暂时不开源GUI版本的Csmap，但我们仍需要一些使用反馈建议以助于我们对CsmapGUI版进行完善。

所以，我们真诚邀请十位师傅进行小范围的测试使用GUI版本，邀请方式以抽奖的形式进行，领取测试资格需要师傅们分享朋友圈的截图，感谢各位师傅帮忙推广！

 

获取github项目链接。

https://github.com/UtopiaSec/Csmap

 

原文始发于微信公众号（乌托邦安全团队）：乌托邦发布第一款工具啦！