漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

admin
admin
admin
102369
文章
87
评论
2023年12月12日09:09:12评论36 views字数 1990阅读6分38秒阅读模式

Acunetix:

Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。

Xray:

Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。

Xray和Acunetix(AWVS)联动

xray下载:https://github.com/chaitin/xray/releases

awvs下载(附破解)https://www.ddosi.org/awvs14-6-log4j-rce/

为什么要联动?

因为有些网站需要特定数据包才能访问,xray无法自定义数据包而AWVS可以。如果测试需要特定数据包才能访问的网站,相当于xray就无法使用了,所以需要联动AWVS构造特定数据包进行扫描。

联动开始:

1.打开awvs——添加目标(Add targets)——保存(save

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

2.保存目标之后会自动跳转到目标设置(target settings)——下滑找到代理服务(proxy server) 开启代理,设置让awvs扫描的流量经过本地8989端口。点击保存(save

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

3.设置XRay监听8989端口

xray根目录打开cmd命令行输入:.xray.exe webscan –listen 127.0.0.1:8989 –html-output xray.html

命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到xray根目录的xray.html文件内

执行命令

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

4.然后来到awvs,点击扫描(scan)——点击创建扫描(Create scan

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

到这里联动就完成了,等待扫描完成后生成漏洞报告即可。

漏洞扫描工具介绍:

Vulmap(2021年停止更新):

Vulmap是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备漏洞利用功能, 目前支持的 webapps 包括 activemq, flink, shiro, solr, struts2, tomcat, unomi, drupal, elasticsearch, fastjson, jenkins, nexus, weblogic, jboss, spring, thinkphp

下载:https://github.com/zhzyker/vulmap/releases

使用:

根目录启动命令行

执行:pip3 install -r requirements.txt  安装依赖

执行:python3 vulmap.py -u 目标地址

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

afrog(目前还在更新)

afrog是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描(挖洞)工具,PoC 涉及 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络安全从业者快速验证并及时修复漏洞。

下载:https://github.com/zan8in/afrog/releases

使用:

根目录启动命令行

输入:afrog.exe -t 目标地址

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

联动扫描-调用-Goby+Awvs+Xray+Vulmap

Goby:

    Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。能通过智能自动化方式,帮助安全入门者熟悉靶场攻防,帮助攻防服务者、渗透人员更快的拿下目标。

下载:https://github.com/gobysec/Goby/releases

联动开始:

1.启动Goby,来到扩展程序,下载Awvs+Xray+Vulmap,点击每个插件都有配置和使用教程

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

下载完成,来到 设置——扩展设置

让你们看看我的配置

vulmap配置:

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

xary配置:

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

AWVS配置:

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

API key生成获取方式:

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

开始扫描漏洞:

Goby添加目标地址和要探针的端口,点击开始

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

Goby成功扫描出漏洞

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

调用AWVS扫描:

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

选择AWVS插件

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

查看awvs,成功自动添加了一个目标开始扫描

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

Xrayvulmap调用也如上一样选择插件即可自动调用开启扫描。

扫描完成可以在如下图 扩展程序处查看各个插件的漏洞检测报告,valmap的检测报告需要再次点击插件查看。

漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

原文始发于微信公众号(哆啦安全):漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月12日09:09:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动http://cn-sec.com/archives/2289349.html

发表评论

匿名网友 填写信息