Packer Fuzzer --一种快速高效的扫描器

admin 2021年11月30日03:21:02安全工具评论70 views3064字阅读10分12秒阅读模式

每日分享好工具

Packer Fuzzer 是一种快速高效的扫描器,用于对由 javascript 模块打包器(如 Webpack)构建的网站进行安全检测。

一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具

随着WEB前端打包工具的流行,您在日常渗透测试、安全服务中是否遇到越来越多以Webpack打包器为代表的网站?这类打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。
本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。


Packer Fuzzer --一种快速高效的扫描器

安装:

1. 本工具使用Python3语言开发,在运行本工具之前请确保您装有Python3.X软件及pip3软件。若您未安装相关环境,可通过如下指引安装:https://www.runoob.com/python3/python3-install.html
MacOS用户可使用如下命令快速安装:
brew install python3 #会自动安装pip3
Ubuntu用户可使用如下命令快速安装:
sudo apt-get install -y python3 && sudo apt install -y python3-pip
CentOS用户可使用如下命令快速安装:
sudo yum -y install epel-release && sudo yum install python3 && yum install -y python3-setuptools && easy_install pip
2. 本工具将会通过node_vm2运行原生NodeJS代码,故我们推荐您安装NodeJS环境(不推荐其他JS运行环境,可能会导致解析失败)。若您未安装相关环境,可通过如下指引安装:https://www.runoob.com/nodejs/nodejs-install-setup.html。
MacOS用户可使用如下命令快速安装:
brew install node
Ubuntu用户可使用如下命令快速安装:
sudo apt-get install nodejs && sudo apt-get install npm
CentOS用户可使用如下命令快速安装:
sudo yum -y install nodejs

3. 请使用如下命令一键安装本工具所需要的Python运行库:
pip3 install -r requirements.txt
您可以使用python3 PackerFuzzer.py [options]命令来运行本工具。
-h(--help)帮助命令,无需附加参数,查看本工具支持的全部参数及其对应简介;-u(--url)要扫描的网站网址路径,为必填选项,例如:-u https://demo.poc-sir.com;-c(--cookie)附加cookies内容,可为空,若填写则将全局传入,例如:-c "POC=666;SIR=233";-d(--head)附加HTTP头部内容,可为空,若填写则将全局传入,默认为Cache-Control:no-cache,例如:-d "Token:3VHJ32HF0";-l(--lang)语言选项,当为空时自动选择系统对应语言选项,若无对应语言包则自动切换至英文界面。可供选择的语言包有:简体中文(zh)、法语(fr)、西班牙语(es)、英语(en)、日语(ja),例如:-l zh;-t(--type)分为基础版和高级版,当为空时默认使用基础版。高级版将会对所有API进行重新扫描并模糊提取API对应的参数,并进行:SQL注入漏洞、水平越权漏洞、弱口令漏洞、任意文件上传漏洞的检测。可使用adv选项进入高级版,例如:-t adv;-p(--proxy)全局代理,可为空,若填写则全局使用代理IP,例如:-p https://hack.cool:8080;-j(--js)附加JS文件,可为空,当您认为还有其他JS文件需要本工具分析时,可使用此选项,例如:-j https://demo.poc-sir.com/js/index.js,https://demo.poc-sir.com/js/vue.js;-b(--base)指定API中间部分(例如某API为:https://demo.poc-sir.com/v1_api/login 时,则其basedir为:v1_api),可为空,当您认为本工具自动提取的basedir不准确时,可使用此选项,例如:-b v1_api;-r(--report)指定生成的报告格式,当为空时默认生成HTML和DOC格式的报告。可供选择的报告格式有:html、doc、pdf、txt,例如:-r html,pdf;-e(--ext)是否开启扩展插件选项,本工具支持用户自我编写插件并存入ext目录(如何编写请参考对应目录下demo.py文件)。默认为关闭状态,当用户使用on命令开启时,本工具将会自动执行对应目录下的插件,例如:-e on;-f(--flag)SSL连接安全选项,当为空时默认关闭状态,在此状态下将会阻止一切不安全的连接。若您希望忽略SSL安全状态,您可使用1命令开启,将会忽略一切证书错误,例如:-f 1;-s(--silent)静默选项,一旦开启则一切询问YES或NO的操作都将自动设置为YES,并且参数后的内容便是本次扫描报告的名称(自定义报告名),可用于无人值守、批量操作、插件调用等模式,例如:-s Scan_Task_777。
使用技巧:
  • 当您遇到假卡死或者扫描器因为意外的错误而被中断时,您无需过于担心。您可以直接在tmp目录下找到对应缓存文件夹内的以.db结尾的Sqlite数据库文件,当您打开之后您可以看见对应项目的所有实时结果均保存在此数据库内,您可以直接通过缓存数据库分析当前的扫描结果;

  • 我们推荐您通过自定义baseurl的方式来提高API拼接成功率,减少发包次数。找寻baseurl并不难,您只需要在对应目标站点中触发任何一个API并稍加观察缺失部分即可快速寻找到;

  • 我们不推荐您在较大、较复杂的站点中使用本工具的高级模式,因为在一些情况下高级模式会耗费异常大量的时间去不停地在后台做正则匹配,从而使本工具陷入假卡死的状态;

  • 当您遇到A站点的API均在B站点时:您可以直接使用本工具扫描B站点,然后使用JS附件命令附加A站点的全部JS文件,这样本工具便可华丽的开始对B站点的测试;

  • 当您遇到在Windows环境下无法创建、读取数据库时,您可以右键点击使用管理员身份运行。当您在Linux/Mac下时请也注意权限问题,推荐使用sudo命令。



    有需要的师傅可公众号后台发送“packer”即可获取资料包。希望对各位大佬有用,一起学习哈。 

    每日坚持分享好工具好资源,麻烦各位师傅文章底部给点个“再看”,感激不尽Packer Fuzzer --一种快速高效的扫描器

     

    欢迎关注 系统安全运维 

    本文始发于微信公众号(系统安全运维):Packer Fuzzer --一种快速高效的扫描器

    特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
    • 我的微信
    • 微信扫一扫
    • weinxin
    • 我的微信公众号
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2021年11月30日03:21:02
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                    Packer Fuzzer --一种快速高效的扫描器 http://cn-sec.com/archives/450038.html

    发表评论

    匿名网友 填写信息

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: