===================================
0x01 工具介绍
这是一个结合fofa和nuclei的批量漏洞扫描脚本,能够根据给出的关键词进行批量化扫描, 适合放在linux服务器上,24小时自动扫描,fofa联动nuclei实现批量漏扫(需要fofa会员),目前只有linux版本。
0x02 安装与使用
python3:这个自行安装,我用的python3.8和3.11都能运行,其他应该也没啥问题nuclei:去官方下载nuclei,这里我只讲单文件版本配置方式,github的nuclei官方项目:nuclei进入release,选择适合自己的版本,这里我用的是amd64的,解压出来然后使用chmodu+xnuclei给予执行权限,然后mvnculei环境变量目录,就可以直接使用了fofamap
2、scan文件下载好放到/root文件下,进入/root/scan文件内,给予执行权限chmod u+x bug_scan.sh
3、keyword.txt(搜索关键词文件)放到/root目录下
keyword内容为我们要搜索的语句的内容 keyword.txt内容格式与fofa查询语句格式一致:
title="xxx"&& after="2022-1-6"title="xxx"&& after="2022-1-10"
4、填写fofa配置(需要fofa会员)
我们将fofamap的配置文件fofa.ini中email和key填写(最好是旧高级会员账号的key),以及根据自己的需求填写其他公众号:web安全工具库配置内容即可,而logger一定要设置为on,因为我们就是从日志文件fofamap.log中提取扫描目标的。
5、执行/root/scan/bug.scan.sh文件,就会开始循环keyword.txt内搜索关键词进行扫描,最后输出结果放在/root/scan_result内,cat /root/scan_result即可 一开始scan_result是没东西的,要扫描出来才有,还有如果是服务器建议用screen跑,这样断开会话还能继续扫。
0x03 项目链接下载
https://github.com/asaotomo/FofaMap
原文始发于微信公众号(Web安全工具库):批量扫漏洞脚本 -- bug_scan(fofa联动nuclei)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论