点击蓝字 关注我们
【零】蒹葭苍苍,更新为上
“Hcaking Search Box”现在已经更新到了6.0版本,比起之前的版本又增加了很多强大又实用的功能啊。
工具就一个主程序文件,Windows下双击即可运行,第一次使用需要激活,有激活卡密的话,直接填写,勾选“自动登录”,点击“登陆”即可。
程序主界面如图所示,有“综合漏洞搜索”、“提权漏洞搜索”、“FOFA API搜索”、“CMS识别引擎”、“编码自动转换”、“端口服务识别”、“历史解析查询”和“批量漏洞利用”等八个功能模块。
【一】综合漏洞搜索
在渗透测试过程中,遇到使用thinkphp框架的应用,可以在综合漏洞搜索模块使用“thinkphp”关键字搜索相关漏洞,真的不要太方便。
这时候我们可以根据实际情况使用对应的POC/EXP来测试漏洞是否存在。
在相应的漏洞上鼠标右击,选择“查看详情”即可在浏览器中打开相应链接,直接下载到本地,使用即可。
【二】提权漏洞搜索功能
提权漏洞搜索功能是第二个功能模块,切换标签后如图:
但是如何使用,相信大家可能会有些懵吧。
打开cmd,使用命令systeminfo |findstr KB,可以查看操作系统打的补丁,如图:
这时候将这些补丁编号信息复制下来,粘贴到工具“配置”文本框,点击“文本处理”,再点击“判断”,这时候工具会把这些打过补丁的漏洞过滤掉,剩下的我们可以根据操作系统版本等条件再进行过滤,选择适合的漏洞EXP使用即可。
同样,我们在相应漏洞右击,选择“提权教程/提权工具下载”,程序会自动在浏览器中打开相应的链接,我们直接下载EXP使用即可。
【三】FOFA API历史搜索功能
工具的第三部分是“FOFA API搜索”,fofa是一款网络空间测绘工具,可以方便的对网络资产进行条件匹配。使用此功能必须填写邮箱和Key,用户级别则至少需要普通会员,自动保存历史搜索记录,搜索关键词记录文件在运行目录的config下的“keywords.txt”文件内。
需要说明的是,升级后我们可以使用组合条件来搜索内容,具体就是在搜索语法填入条件,使用右边的小“+”号来把条件保存到下边的框框内,界面如下:
【四】批量网站CMS识别引擎功能
第四个功能模块是cms识别,需要在工具同目录下有一个url.txt文件,将需要识别的站点域名录入txt中
config目录下的“cms.csv”文件是指纹规则库,可自行添加拓展。
【五】一键自动编码解码功能
第五个功能是编码自动转换,这个功能相对就很简单了,我们只需要将要编码的内容输入到原文本去,在下边会自动显示出被编码后的内容,如下图所示:
工具原版哈希值:
文件名称: Z:新建文件夹Hacking Search Box.exe文件大小: 13.4 MB (14,143,488 字节)文件版本: 1.0.0.0修改时间: 2020年10月03日,23:38:18MD5: 1C16F5555E0B4878BC216AE0C950B7E0SHA1: C4D5F227EA3C1B62F29D9D9C11C5926DE3F347E7SHA256: A6428822C168D76804F26A08A79F98E480093092D2BCA7C20D88EF580A98117DSHA512: 5F4202E11C0F85392D79846C3AA66A2AD174C73E6640F186183C79A7476F762DEF6121AFDEBEB4B3D73C22286DE1322BA3BD07FCEF2F3BBAA57C8B2EA2714B0DCRC32: 91D76795计算时间: 0.06s
【六】端口服务识别
第六个功能是端口服务识别,域名或IP都可以,此功能也比较简单,输入IP后再编辑要探测的端口,点击“开始扫描”即可
【七】历史解析查询
关于第七个功能的“历史解析查询”,真的是蛮好用的,这里需要注意的是域名前一定不要加协议,如http、https这些,我们就直接用默认的百度域名测试一下好了,可以看到www.baidu.com域名的历史解析IP以及时间:
【八】敬请期待
还有更多好用的工具在开发中,相信在下一个版本中就可以和我们“粉丝”见面了哦。
获取与合作
QQ群号
795285056
哈希计算工具下载地址
QQ群文件
Hcaking Search Box下载地址
QQ群文件
注意
运营+合作
扫二维码,关注我们
本文始发于微信公众号(云剑侠心):工具 | 渗透测试神器Hcaking Search Box6.0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论