前言:
本思路针对目标进行资产收集后,进行Rad+Burp+Xray联动自动化挖掘SRC漏洞,人在床上躺,钱从天上来。
正文:
使用fofa采集工具批量采集目标站点。有fofa会员的小友们使用什么收集工具无所谓,没有的去找别人借,或者手动收集
项目地址:https://github.com/uknowsec/Fofa-gui
小友们想办法把权重>2的站点处理出来,现在这个脚本好像还没支持
项目地址:https://github.com/projectdiscovery/httpx
-l 域名文件地址
-o 结果输出为
./httpx -l 1.txt -o 2.txt经过处理好的url扔进rad里面
下载Rad编辑好config文件。
项目地址:https://github.com/chaitin/rad
小友们自己改一下或者自己去找一下其他的脚本。
import os
import threading
import queue
def zid(wenjian):
words = queue.Queue()
with open(wenjian) as txt:
for i in txt:
i = i.strip()
words.put(i)
return words
def zhix(zidian):
whin True:
if zidian.empty():
return
else:
i = zidian.get()
i = i.strip()
ml = ".rad.exe -t "+i+" --http-proxy 127.0.0.1:8080"
os.system(ml)
def main():
zd = zid("1.txt")
threads = []
for i in range(1):
t = threading.Thread(target=zhix,args=(zd,))
threads.append(t)
t.start()
for t in threads:
t.join()
print("扫描结束!")
if __name__=="__main__":
main()-http-proxy 127.0.0.1:8080
打开User options模块—Upstream Proxy Servers设置上有代理
Add添加127.0.0.1:7777
Xray开启监听7777端口
webscan --listen 127.0.0.1:7777 --html-output Cubs.html然后自动化开跑,睡几天估计就出货了,有洞就交360众包亿万守护计划
填写邀请码m2i1R8,可增加50%漏洞审核通过率
权重批量识别脚本,关注公众私信“批量权重”获取下载地址
原文始发于微信公众号(Cubs i安全):【SRC思路】自动化挖SRC赏金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论