实战 | 目录扫描器开发-泄露漏洞

有时候目录扫描，我们会顺便扫描是否存在备份的情况，这时候就自己简单的写了一个python的脚本

主要想做到的是 例如我扫 http://xxx.cn 的站点目标的时候

会根据域名自动的去匹配以下这种基于域名生成的文件备份路径

1. http://a.xxx.cn/zkap.zip

2. http://a.xxx.cn/a.zip

第一步-大大的logo

1. from colorama import init #cmd终端带颜色

2. init(autoreset=True)

4. def title():

5. print('+------------------------------------------')

6. print('+ 33[34m......初始化开始...... 33[0m')

7. print('+ 33[34m杳若出品 33[0m')

8. print('+ 33[34mTitle: 用于文件备份扫描~ 33[0m')

9. print('+ 33[36m使用格式: 输入必要的参数 33[0m')

10. print('+------------------------------------------')

第二步-随机的请求头

当然是为了减少被ban的几率了

1. from faker import Faker # 随机请求头的库

2. import random # 为了增加随机的ip

4. # 随机请求头

5. def header():

6. headers = {

7. 'Accept': '*/*',

8. 'Referer': 'http://www.baidu.com',

9. 'User-Agent': Faker().user_agent(),

10. 'Cache-Control': 'no-cache',

11. 'X-Forwarded-For': '127.0.0.{}'.format(random.randint(1, 255)),

12. }

13. return headers

利用库做到了UA请求头随机，用random做到了xff的伪随机，当然Referer也可以换

第三步-确认传入的内容是否带协议以及切割URL

传入的内容可能带http可能https也可能不带，就要自己添加，这里写一个检测

1. from urllib.parse import urlparse # 协议分离的库

2. import requests # http协议请求的库

4. def urlpar(url):

5. # 这里是检测传入是否带http，不带的话就会自动去拼接

6. if 'http' not in url:

7. if url[-1] == '/':

8. url, p2, p3 = url.partition('/')

9. # 拼接的话会请求http，如果访问失败那就添加https

10. try:

11. requests.head(url='http://' + url, headers=header(), verify=False, timeout=(3, 8))

12. return 'http://' + url

13. except Exception as e:

14. return 'https://' + url

15. # 不然就是带协议头啦

16. else:

17. url_Doman = urlparse(url).netloc

18. url_http = urlparse(url).scheme

19. url_main = "{}{}{}".format(url_http, '://', url_Doman)

20. return url_main

22. # url域名分割

23. def tldex(url):

24. url = tldextract.extract(urlpar(url))

25. one = url.subdomain

26. three = url.suffix

27. two = url.domain

28. # 切割成了三个部分，顶级域名、主域和尾

29. return one, two, three

第四步-做成字典

首先需要一个分割好的字典集合，然后添加对应的后缀

1. # 组合自定义字典

2. def dith(one, two, three):

3. urls = []

4. urls = urls + diy(one)

5. urls = urls + diy(two)

6. urls = urls + diy(three)

7. urls = urls + diy(two + '.' + three)

8. urls = urls + diy(one + '.' + two)

9. urls = urls + diy(one + '.' + two + '.' + three)

10. # 返回就是一个字典集合了

11. return urls

13. # 自定义字典内容

14. def diy(ci):

15. url = []

16. url.append('/' + ci + '.rar')

17. url.append('/' + ci + '.zip')

18. url.append('/' + ci + '.txt')

19. url.append('/' + ci + '.apk')

20. url.append('/' + ci + '.gz')

21. return url

22. 这里都可以自定义各种内容

第五步-发起http请求

发起请求的话就是不断的将url以及对应的路由进行拼接判定，这里利用了Content-Length来判断大小，大于一定的值就证明存在文件备份

但是考虑到了vue等框架的误报情况，做了一定的防误报处理

1. import requests # http协议请求的库

2. import requests.packages.urllib3.util.ssl_

3. requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS = 'ALL'

4. from urllib3.exceptions import InsecureRequestWarning

5. # 防止无证书连接的报错

6. requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

8. # 进行备份扫描以及确认

9. # 这里传入需要检测的url以及需要拼接的后缀urls做的字典

10. def scan(url, urls):

11. a = 0

12. u = []

13. b = 0

14. # 传入了字典，进行遍历

15. for url1 in urls:

16. try:

17. # time.sleep(random.randint(1,10))

18. r = requests.head(url=url + url1, headers=header(), verify=False, timeout=(3, 30)) # 通过请求漏洞存在网址，获取其数据流的大小

19. rarsize = int(r.headers.get('Content-Length')) # 是str格式-对数据流大小的获取

20. if rarsize >= 1000 * 10:

21. print('33[32m [o] 存在漏洞[>]%s[>]%skb33[0m' % (url + url1, str(rarsize)))

22. a = a + 1

23. u.append(url + url1 + 't' + str(rarsize))

24. if (a >= 5):

25. print('33[31m [x] 存在误报[>]%s[>]%skb33[0m' % (url + url1, str(rarsize)))

26. break

27. pass

28. else:

29. print('33[31m [x] 不存在漏洞[>]%s[>]%skb33[0m' % (url + url1, str(rarsize)))

30. except Exception as e:

31. try:

32. r = requests.head(url=url + url1, headers=header(), verify=False, timeout=(3, 30))

33. if r.status_code == 404:

34. b = b + 1

35. except Exception as e:

36. b = b +1

37. # 如果请求了10个数据包都是404,那太慢了，直接提示url不行

38. if b >= 10:

39. break

40. print(' [?] 存在问题>' + url + url1)

41. # 如果存在漏洞的数量大于5个，极大可能就是误报了

42. if a < 5 and u != []:

43. for url in u:

44. with open('cunzai.txt', 'a+', encoding='utf-8') as fp:

45. fp.write(url + 'n')

简易的备份扫描工具就做好啦

1. # -*- coding:utf-8 -*-

2. import random # 请求协议/域名分割/随机

3. import re

4. from urllib.parse import urlparse # 协议分离

6. from colorama import init #cmd终端带颜色

7. init(autoreset=True)

9. import requests

10. # import time

11. # requests防止报错

12. import requests.packages.urllib3.util.ssl_

13. import tldextract

14. #from fake_useragent import UserAgent # 随机请求头

15. from faker import Faker # 随机请求头二代

17. requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS = 'ALL'

18. from urllib3.exceptions import InsecureRequestWarning

20. requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

23. # 随机请求头

24. def header():

25. headers = {

26. 'Accept': '*/*',

27. 'Referer': 'http://www.baidu.com',

28. 'User-Agent': Faker().user_agent(),

29. 'Cache-Control': 'no-cache',

30. 'X-Forwarded-For': '127.0.0.{}'.format(random.randint(1, 255)),

31. }

32. return headers

35. # url进行协议分割

36. def urlpar(url):

37. if 'http' not in url:

38. if url[-1] == '/':

39. url, p2, p3 = url.partition('/')

40. try:

41. requests.head(url='http://' + url, headers=header(), verify=False, timeout=(3, 8))

42. return 'http://' + url

43. except Exception as e:

44. return 'https://' + url

45. else:

46. url_Doman = urlparse(url).netloc

47. url_http = urlparse(url).scheme

48. url_main = "{}{}{}".format(url_http, '://', url_Doman)

49. return url_main

52. # url域名分割

53. def tldex(url):

54. url = tldextract.extract(urlpar(url))

55. one = url.subdomain

56. three = url.suffix

57. two = url.domain

58. return one, two, three

61. # 自定义字典内容

62. def diy(ci):

63. url = []

64. url.append('/' + ci + '.rar')

65. url.append('/' + ci + '.zip')

66. url.append('/' + ci + '.txt')

67. url.append('/' + ci + '.apk')

68. url.append('/' + ci + '.gz')

69. return url

72. # 组合自定义字典

73. def dith(one, two, three):

74. urls = []

75. urls = urls + diy(one)

76. urls = urls + diy(two)

77. urls = urls + diy(three)

78. urls = urls + diy(two + '.' + three)

79. urls = urls + diy(one + '.' + two)

80. urls = urls + diy(one + '.' + two + '.' + three)

81. return urls

84. # 拼接比较常见的备份地址

85. def dithadd(url):

86. urls = ['/.git', '/.svn', '/新建文件夹.rar', '/新建文件夹.zip', '/备份.rar', '/wwwroot.rar', '/wwwroot.zip', '/backup.rar',

87. '/bf.rar', '/beifen.rar', '/www.rar', '/vera_Mobile.zip', '/web.rar', '/zuixin.rar', '/最新.rar',

88. '/test.rar', '/test.zip', '/web.zip', '/www.zip', '/最新备份.rar']

89. url = url + urls

90. return url

93. # 拼接字典

94. def adithaddadd(url):

95. urls = []

96. for urla in open('dict.txt', encoding='utf-8'):

97. urla = urla.replace('n', '')

98. if len(urla) != 0:

99. urls.append(urla)

100. else:

101. pass

102. urls = urls + url

103. return urls

106. # 进行备份扫描以及确认

107. def scan(url, urls):

108. a = 0

109. u = []

110. b = 0

111. for url1 in urls:

112. try:

113. # time.sleep(random.randint(1,10))

114. r = requests.head(url=url + url1, headers=header(), verify=False, timeout=(3, 30)) # 通过请求漏洞存在网址，获取其数据流的大小

115. rarsize = int(r.headers.get('Content-Length')) # 是str格式-对数据流大小的获取

116. if rarsize >= 1000 * 10:

117. print('33[32m [o] 存在漏洞[>]%s[>]%skb33[0m' % (url + url1, str(rarsize)))

118. a = a + 1

119. u.append(url + url1 + 't' + str(rarsize))

120. if (a >= 5):

121. print('33[31m [x] 存在误报[>]%s[>]%skb33[0m' % (url + url1, str(rarsize)))

122. break

123. pass

124. else:

125. print('33[31m [x] 不存在漏洞[>]%s[>]%skb33[0m' % (url + url1, str(rarsize)))

126. except Exception as e:

127. try:

128. r = requests.head(url=url + url1, headers=header(), verify=False, timeout=(3, 30))

129. if r.status_code == 404:

130. b = b + 1

131. except Exception as e:

132. b = b +1

134. if b >= 10:

135. break

136. print(' [?] 存在问题>' + url + url1)

138. if a < 5 and u != []:

139. for url in u:

140. with open('cunzai.txt', 'a+', encoding='utf-8') as fp:

141. fp.write(url + 'n')

144. def main(url, key):

145. p1, p2, p3 = url.replace('http://', '').replace('https://', '').partition(':')

146. if re.match(r"^(?:[0-9]{1,3}.){3}[0-9]{1,3}$", p1):

147. add_url = dithadd([])

148. else:

149. one, two, three = tldex(url)

150. urls = dith(one, two, three) # 自定义列表

151. add_url = dithadd(urls)

152. if key == 'yes':

153. add_url = adithaddadd(add_url)

154. scan(urlpar(url), add_url)

156. # 这是标题~

157. def title():

158. print('+------------------------------------------')

159. print('+ 33[34m......初始化开始...... 33[0m')

160. print('+ 33[34m杳若出品 33[0m')

161. print('+ 33[34mTitle: 用于文件备份扫描~ 33[0m')

162. print('+ 33[36m使用格式: 输入必要的参数 33[0m')

163. print('+------------------------------------------')

165. if __name__ == "__main__":

166. title()

167. mode = input("请选择模式单个/多个:Please A/B ->")

168. key = input("是否需要使用字典yes/no:")

169. if mode == 'A':

170. url = input("请输入需要目录扫描的url:")

171. main(url, key)

172. elif mode == 'B':

173. txt = input("请输入需要目录扫描的TXT:")

174. for url in open(txt, encoding='utf-8'):

175. url = url.replace('n', '')

176. main(url, key)

177. else:

178. print("请输入正确的mode!")

在成品里面多了个附加的功能，哈哈(也就是选择A/B之类的)

单个
请选择模式单个/多个:Please A/B -> 第一步是选择要扫单个文件还是多个文件

           如果选A

请选择模式单个/多个:Please A/B ->A
是否需要使用字典yes/no: #第二步是选择是否需要字典，不需要会使用基础的备份扫描功能

如果选yes 默认加载启动dict.txt
请选择模式单个/多个:Please A/B ->A
是否需要使用字典yes/no:yes
请输入需要目录扫描的url: #第三步是选择需要扫描的url地址

多个：

请选择模式单个/多个:Please A/B ->B
是否需要使用字典yes/no:no
请输入需要目录扫描的TXT: #前面与单个相同，这一步开始需要输入txt文本进行批量扫描，不过不是多线程

有时候出货就是这么简单~

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

好文分享收藏赞一下最美点在看哦