由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
xapp
./xapp_darwin_amd64
./xapp_darwin_amd64 -t http://x.x.x
扫描多个url
./xapp_darwin_amd64 -i urls.txt
更多用法
# 扫描单个url
xapp -t http://www.test.com
# 扫描多个url
xapp -i urls.txt
# 指定指纹扫描单个目标:
xapp -r xxx.yml -t https://www.example.com
echo https://www.example.com | xapp -r xxx.yml
# 指定指纹扫描多个目标:
xapp -r xxx.yml -t https://www.example.com -t https://www.example2.com
xapp -r xxx.yml -i targets.txt
cat targets.txt | xapp -r xxx.yml
# 指定多个指纹进行扫描:
xapp -r xxx.yml -r yyy.yml -t https://www.example.com
xapp -r "./finger/web/*.yml" -t https://www.example.com
xapp -r "./finger/**/*.yml" -t https://www.example.com
# 指定group进行扫描:
xapp -g web.list -t https://www.example.com
下载地址
Github:
https://github.com/chaitin/xray/releases?q=xapp
(国外速度快)CT stack:
https://stack.chaitin.com/tool/detail/1311 (国内速度快)
xapp 跨平台支持,下载时选择需要的版本下载。
EHole_magic
EHole(棱洞)魔改。可对路径进行指纹识别;支持识别出来的重点资产进行漏洞检测(支持从hunter和fofa中提取资产)、默认口令提示、waf识别等功能
使用
poc检测默认不开启,在poc.ini中将poc=no改为poc=yes开启
HTTP
请求,并判断是否存在 WAF
若存在根据指纹判断其类型-->若正常 HTTP
检测不出 WAF
,则附加恶意的请求尝试出发 WAF 并分析其类型ehole finger -s domain="baidu.com" // 支持所有fofa语法
hunter识别
注意:从hunter识别需要配置hunter 密钥,在config.ini内配置好密钥即可使用。
搜索无结果 与fofa解决方案相同
ehole finger -b ip="180.140.20.182" // 支持所有hunter语法
多个url识别
ehole finger -l 1.txt // 从文件中加载url扫描
单个目标识别
ehole finger -u http://www.baidu.com // 单个url检测
github:
https://github.com/lemonlove7/EHole_magic
鹏组安全社区:
https://comm.pgpsec.cn/54.html
P1finger 红队行动下的重点资产指纹识别工具
单个目标探测
P1finger -u
P1finger -uf
下载地址
github:
https://github.com/P001water/P1finger?tab=readme-ov-file
hfinger
./hfinger -u http://x.x.x
./hfinger -f urls.txt
github:
https://github.com/HackAllSec/hfinger
原文始发于微信公众号(鹏组安全):【工具篇】大佬都在用的几款web指纹识别工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论