pphack 是一种 CLI 工具,用于扫描网站以查找客户端原型污染漏洞。
特征
快速(并发工作线程)
默认有效负载涵盖很多情况
有效负载和 Javascript 自定义
代理友好
支持文件中的输出
支持的速率限制。
安装
https://github.com/edoardottt/pphack/cmd/pphack@latest
使用方法
pphack -h
Scan a single URL pphack -u https://edoardottt.github.io/pp-test/
echo https://edoardottt.github.io/pp-test/ | pphack
扫描URL列表
pphack -l targets.txt
cat targets.txt | pphack
更改并发级别(默认为 50)
pphack -u https://edoardottt.github.io/pp-test/ -c 20
更改连接超时值(默认 10 秒)
pphack -u https://edoardottt.github.io/pp-test/ -t 20
使用代理
pphack -u https://edoardottt.github.io/pp-test/ -px http://127.0.0.1:8080
设置自定义用户代理(默认随机)
pphack -u https://edoardottt.github.io/pp-test/ -ua “Test User Agent”
使用自定义有效负载
默认值为随机(例如) nqapst
pphack -u https://edoardottt.github.io/pp-test/ -p injection
在目标上运行自定义Javascript(以验证目标是否易受)
默认值为 window. + 有效负载(例如 window.nqapst )
pphack -u https://edoardottt.github.io/pp-test/ -js “console.log(3)”
使用文件在目标上运行自定义 Javascript(以验证目标是否易受攻击)
pphack -u https://edoardottt.github.io/pp-test/ -jsf custom.js
在文件中写入输出
pphack -u https://edoardottt.github.io/pp-test/ -o result.txt
详细输出
pphack -u https://edoardottt.github.io/pp-test/ -v
仅打印结果(无声)
pphack -u https://edoardottt.github.io/pp-test/ -s
来源:https://github.com/edoardottt/
原文始发于微信公众号(Eonian Sharp):【刻刀】| pphack:最先进的客户端原型污染扫描仪
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论