Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

admin 2024年12月22日22:19:56评论28 views字数 3349阅读11分9秒阅读模式

前言

最近发现一个Web资产存活快速验证工具:Web-SurvivalScan,使用了一下,发现速度有点慢,而且不是命令行参数,用起来有点不舒服,所以二开了一下,变成:Web-SurvivalScan_thread

项目地址

Web-SurvivalScan_thread:

https://github.com/dustblessnotdust/Web-SurvivalScan_thread

Web-SurvivalScan: https://github.com/AabyssZG/Web-SurvivalScan

Web-SurvivalScan使用截图Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

Web-SurvivalScan_thread使用截图Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

往期推荐

14w+poc,nuclei全家桶:nuclei模版管理工具+Nuclei

红队武器库VulToolsKit全家桶:图形化页面+自己额外添加的一些工具

Apache Struts RCE (CVE-2024-53677),附多线程验证脚本+bp的poc

fscan全家桶:FscanPlus,fs,fscan适用低版本系统,FscanParser

自动爬取url地址,检测sql注入漏洞,sqlmc安装+使用

TestNet,安装+使用,可以代替灯塔

Web-SurvivalScan_thread

一个多线程快速验活,并且结果可以通过.html形式直观查看

基于Web-SurvivalScan项目二开,项目地址:https://github.com/AabyssZG/Web-SurvivalScan

一万多个IP,并列出了对应的Web资产地址,这个时候就需要快速验证资产存活网上找了一圈,都没什么好用的工具。

于是,就写了这个Web资产存活检测小工具:Web-SurvivalScan_thread

二开的地方

  • 由单线程变成了多线程,通过-t参数指定
  • 从原本的运行程序之后输入参数,变成了命令行输入
  • 删除了之前的又要指定文件又要知道路径,变成了-f参数指定文件和路径
usage: Web-SurvivalScan_thread.py [-h] -f FILE_PATH [-p PROXY] [-t THREADS]

Batch website scanner.

options:
  -h, --help            show this help message and exit
  -f FILE_PATH, --file-path FILE_PATH
                        Input target TXT file path (e.g., /some/path/test.txt)
  -p PROXY, --proxy PROXY
                        Proxy IP and port
  -t THREADS, --threads THREADS
                        Number of threads to use (default: 10)

使用

安装python库

pip3 install -r requirements.txt

常规使用

线程默认是10

python3 .test.py -f .test.txt -t 15

跑完后,即可拿到导出的两个文件:output.txt 和 outerror.txt

output.txt:导出验证存活成功(状态码200)的Web资产 outerror.txt:导出其他状态码的Web资产,方便后期排查遗漏和寻找其他脆弱点 .data/report.json:所有资产的运行数据,按JSON格式导出,方便处理 report.html:将所有资产进行HTML可视化导出,方便整理

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

Web-SurvivalScan

也贴一下原版的介绍

一、工具概述

在日常工作的渗透测试过程中,经常会碰到渗透测试项目,而Web渗透测试通常是渗透项目的重点或者切入口

通常拿到正规项目授权后,会给你一个IP资产列表和对应的Web资产地址,这时候就需要我们进行快速存活验证

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用
资产列表

如图,这个项目给了一万多个IP,并列出了对应的Web资产地址,这个时候就需要快速验证资产存活

网上找了一圈,都没什么好用的工具。于是,就写了这个Web资产存活检测小工具:Web-SurvivalScan

如果这个工具帮助到了你,欢迎赏个Star~哈哈

📝 二、TODO

  • [x]  修复网页Title为空导致报错的Bug
  • [x]  支持批量访问固定路径(验证简单漏洞的时候巨有效)
  • [x]  支持在导出HTML界面里面显示标题,更方便确认资产信息
  • [x]  支持对HTTP代理进行校验,检验代理可用性
  • [x]  支持使用HTTP/HTTPS代理所有流量,并可以使用HTTP认证
  • [x]  支持将 :443 自动识别转换为 https://
  • [x]  支持读取多种编码格式的TXT(ANSI和UTF-8均支持)
  • [x]  支持导出HTML文件,方便资产的可视化整理
  • [x]  多线程扫描,1万条Web资产实测20分钟左右跑完
  • [x]  存活验证时使用随机User-Agent请求头
  • [x]  解决目标SSL证书问题 (自签名证书请改成 http:// 即可)
  • [x]  智能识别目标地址 (example.com 和http://example.com:8080 以及http://example.com 都不会报错)

🚨 三、安装Python依赖库

pip3 install -r requirements.txt

🐉 四、工具使用

首先,需要将目标Web资产批量复制到TXT内,并将该TXT放到本脚本同目录,如下图:

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

注:本脚本能智能识别目标地址 (example.com 和http://example.com:8080 以及http://example.com 都不会报错)

# python3 Web-SurvivalScan.py

              ╦ ╦┌─┐┌┐
              ║║║├┤ ├┴┐
              ╚╩╝└─┘└─┘
╔═╗┬ ┬┬─┐┬  ┬┬┬  ┬┌─┐┬  ╔═╗┌─┐┌─┐┌┐┌
╚═╗│ │├┬┘└┐┌┘│└┐┌┘├─┤│  ╚═╗│  ├─┤│││
╚═╝└─┘┴└─ └┘ ┴ └┘ ┴ ┴┴─┘╚═╝└─┘┴ ┴┘└┘
             Version: 1.11
Author: 曾哥(@AabyssZG) && jingyuexing
 Whoami: https://github.com/AabyssZG

请输入目标TXT文件名
FileName >>> 【TXT文件名】
请输入需要访问的路径(无则回车)
DirName >>> 【需要批量访问的路径】
请输入代理IP和端口(无则回车)
Proxy >>> 【HTTP认证账号:HTTP认证密码@代理IP:端口】
Proxy >>> 【代理IP:端口(没有HTTP认证的情况下)】
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

跑完后,即可拿到导出的两个文件:output.txt 和 outerror.txt

  • output.txt:导出验证存活成功(状态码200)的Web资产
  • outerror.txt:导出其他状态码的Web资产,方便后期排查遗漏和寻找其他脆弱点
  • .data/report.json:所有资产的运行数据,按JSON格式导出,方便处理
  • report.html:将所有资产进行HTML可视化导出,方便整理
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

适合想走红队和渗透方向的师傅,国际最知名的网络安全证书之一,含金量比国内的高了不少。如果和我一样学历不太好的师傅,凭借这个可以抹平211的学历差距,感兴趣的师傅可以扫描加我微信,保证全网最低价oscp+的培训,而且是7年红队经验,红队队长带领培训目前费用全网最低,只需4000,提供学生证明可再减500。目前可以分期付款,一三五oscp教学,二四指导靶机复现,周六周天休息,培训时间6个月左右,最终会打200个靶机左右,只要完全掌握课程知识+靶场,可以有%80的通过率,感兴趣的师傅可以加我好友咨询

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

可以关注一下关注公众号,里面有大量的工具和课程免费提供

可以加入一下我们的帮会,是真正的红队大佬创建的,里面会定时丢些网上没有的工具(比如安卓远控7.4,不过现在已经删除了,有时限,加入的记得看好时间),除了这个:还有大量的poc、渗透工具、渗透课程、实战案例等等。现在只要99就可以终身,后面人多了就会涨价了

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

大量的课程和工具

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

一些工具,二开的网恋避险工具(不清楚的可以去搜一下,黑客网络避险工具)

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

还有大量内部整理POC合集

Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用
Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

我们红队全栈公益课链接:https://space.bilibili.com/350329294

原文始发于微信公众号(泷羽Sec-尘宇安全):Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月22日22:19:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Web资产存活快速验证工具Web-SurvivalScan二开,Web-SurvivalScan_thread工具使用https://cn-sec.com/archives/3538813.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息