工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

admin 2022年5月3日22:33:11安全工具评论37 views2377字阅读7分55秒阅读模式

免责声明



本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。


工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

文章正文




Suture_Box 

集合渗透测试常用工具对目标进行一键扫描的缝合怪

特点:

  • 集合了多个github优秀的开源工具,只需传入目标,即可启动收集的工具同时对目标进行扫描,将结果统一格式化输出。现有两个模块的工具:collect(信息收集)与vulscan(漏洞扫描)

  • 包含功能:目录扫描、子域名爆破、指纹识别、Cms识别、Waf识别、Js检测url、漏洞扫描

信息收集部分

  • zhzyker/dismap https://github.com/zhzyker/dismap

    • 快速识别 Web 指纹信息,定位资产类型。辅助红队快速定位目标资产信息,辅助蓝队发现疑似脆弱点

  • H4ckForJob/dirmap https://github.com/H4ckForJob/dirmap

    • 一个高级web目录、文件扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑。

  • stamparm/identYwaf https://github.com/stamparm/identYwaf

    • WAF识别工具

  • Threezh1/JSFinder https://github.com/Threezh1/JSFinder

    • JSFinder是一种用于从网站上的JS文件中快速提取URL和子域的工具

  • knownsec/ksubdomain https://github.com/knownsec/ksubdomain

    • 无状态子域名爆破工具

  • TideSec/TideFinger https://github.com/TideSec/TideFinger

    • TideFinger——指纹识别小工具,汲取整合了多个web指纹库,结合了多种指纹检测方法,让指纹检测更快捷、准确。

  • F6JO/CmsVulScan https://github.com/F6JO/CmsVulScan

    • cms识别工具,用于识别网站使用的cms,收集了github上多个扫描工具的指纹

漏洞扫描部分

  • zhzyker/vulmap https://github.com/zhzyker/vulmap

    • Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备漏洞验证功能

  • tr0uble-mAker/POC-bomber https://github.com/tr0uble-mAker/POC-bomber

    • 利用大量高威胁poc/exp快速获取目标权限,用于渗透和红队快速打点

  • projectdiscovery/nuclei https://github.com/projectdiscovery/nuclei

    • 基于简单的基于YAML的DSL的快速可定制漏洞扫描器。

配置

  • 使用前先使用-d下载需要的工具,-p指定代理。目前-p的代理只用于下载工具

Tool_help:

Suture_Box

target:
-u TARGET 指定url,如:http://www.baidu.com

modular:
-m MODULAR 设置调用的模块,vulscan(漏洞扫描)/collect(信息收集),默认信息收集
-t TOOL 指定单个调用的工具,如: -t vulmap,默认 all 全部调用
-x EXCLUDE 设置排除调用的工具,使用逗号隔开,如: -x vulmap,dismap

download:
-d DOWN 要下载的工具或者模块,如 -d vulscan 或 -d vulmap 或 -d all
-p PROXY 设置代理,格式: 127.0.0.1:7890

other:
-o OUTPUT_FILE 指定保存路径
-single 设定此参数后将依次运行工具,而不是同时运行
-info 设定是否打印info信息,默认关闭
-list 打印所有集成的工具信息

Usage:

# 下载所有工具:
python3 suturebox.py -p 127.0.0.1 -d all

# 下载vulscan模块的所有工具:
python3 suturebox.py -p 127.0.0.1 -d vulscan

# 下载vulmap工具:
python3 suturebox.py -p 127.0.0.1 -d vulmap

# 启用vulscan模块下所有工具:
python3 suturebox.py -u https://127.0.0.1 -m vulscan

# 启用vulscan模块下的vulmap工具:
python3 suturebox.py -u https://127.0.0.1 -m vulscan -t vulmap

# 启用vulscan模块下除vulmap和nuclei之外的所有工具:
python3 suturebox.py -u https://127.0.0.1 -m vulscan -x vulmap,nuclei

# 依次启用vulscan模块下除vulmap和nuclei之外的所有工具,并打印调试信息:
python3 suturebox.py -u https://127.0.0.1 -m vulscan -x vulmap,nuclei -info -single


获取方法:

大家可以公众号回复“0428”, 即可领取。

也可以加入Z2O安全攻防交流群,一起交流。


工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

技术交流





交流群



关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪




知识星球



星球不定时更新最新漏洞复现,手把手教你,同时不定时更新POC、内外网渗透测试骚操作。涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全等

工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪


原文始发于微信公众号(Z2O安全攻防):工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日22:33:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  工具推荐 | 集合渗透测试常用工具对目标进行一键扫描的缝合怪 http://cn-sec.com/archives/961966.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: