这段时间心情糟糕,用URLfinder和JSfinder的时候感觉速度好慢,有些路径还摸不到,美化也有点不适应,用二开的又感觉差点意思,用熊猫头插件是不错,但是总感觉需要手动的去拼接访问,并且碰上数据过长的显示还会错误,就感觉用什么都不是滋味吧!
我在想,有没有一种工具,可以进行JS文件的扫描判断,提取出敏感路径和参数,并且还自带大模型进行风险评估,或者是对页面进行爬虫收集路径,并给出响应和长度,还能建议的判断漏洞呢?于是就心血来潮,写了这么一个工具,中文名叫:“转子女神”。希望能让这个工具名扬四海吧!
这里展示下目前所有的功能和支持的语法,需要增加什么新功能,请各位师傅向我提出建议,万分感谢!!!在此致敬JSfinder,URLfinder,fscan,FindSomething等等信息收集工具和浏览器插件!感谢各位师傅!
因为是类似于HAE的正则匹配,所以先抛开JS文件的误报不谈可以发现有些地方判断出了可能存在SQL注入的URL,并且还能判断接口或是敏感页面
这里换了个EDU的URL,发现数据会比其他小站点多得多,这里拿到了很多的接口,并且自动进行请求,也不会存在被WAF拦截或者被封IP的情况,这里可以发现长度和响应都是一样的,所以证明路径是不对的,需要拼接别的路径才能正常的请求,但是接口我们是拿到了的。
这里可以发现自动的把JS中匹配到的路径,进行了拼接请求,拿到的接口比上面的还要多多,因为工具中有个功能,就是可以自动的匹配需要拼接路径的变量的值,就好比一个数据是"/" + x + "/user/admin"这种格式,爬虫会自动的匹配x的值,并重新拼接,假设x的值是12345,拼接后也就是"/12345/user/admin",所以拿到的数据会更多,接口也是。
ps:工具还会自动抓取ico的hash值,并给出黑暗引擎的语法,很爽
下面来到了JS自动化分析并提取出AI拿到的API,会发现AI拿的接口比手工的要多多了,经过AI自动化分析的JS代码,还有功能的提示,那很好了
会发现这里爆了ID值,经过后面的接口分析,可以拿这个ID值进行请求
另一个AI分析出的接口爆了个未能正常登录,说明鉴权
这里请求方式错误,说明可能需要post,put,delete等请求方式
这里爆了个ID为空,可以直接拿JS分析中的参数去进行一个fuzz,或许能在这里打一波注入?
由于缺少一些参数,我们来到文件夹中,看看参数的读取怎么样了
如果还没发现漏洞的话,可以拿URL文件中的所有url进行跑一下
如果运气好的话,甚至可以直接爆出未授权或者信息泄露漏洞,那更爽了
例如敏感信息泄露这里,会直接告诉你匹配这个的参数,直接来到目标url搜索触发的参数就好了,一目了然
接着来到JS分析情报这里,会发现AI对这个做了一个风险评估
并且路径的匹配和参数还会自动放在提取的目标JS文件中
包括这个输出日志,也会记录所有的URL,方便使用者随时进行查看
以上就是工具的大概使用了,总共也就用了几分钟,可以在做测试的时候,挂着扫描,一下子就出结果了,效率也是杠杠的。
例如一个需要/#/拼接的站点,直接扫描拼接的返回数据肯定不是正确的,这个时候就需要--url功能了
这样就会按照你定义的url去拼接路径了,可以看到都请求成功了
在txt以这种方式,接着点击exe,就会自动的去进行扫描了,无需手动
AI的问话也可以在这更改,删除了会自动创建新的默认的问话机制,所以各位师傅可以多尝试对AI进行问话,以达到最好的AI自动化分析效果,不过可能会破坏路径提取的函数
接着就是haeders的设置,这没什么好说的,格式不变下更改数据即可
好!以上就是本工具转子女神的功能展示和使用方式了,谢谢各位师傅的支持!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4207845.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论