0x01 工具介绍
面对传统工具速度慢、路径挖掘不全、分析繁琐等问题,一款名为“转子女神”的新型工具横空出世。它结合AI智能分析与自动化路径拼接,极大提升了信息收集效率,助力安全从业者快速锁定潜在漏洞。本文将深入解析“转子女神”的核心功能与使用技巧,带你领略这款工具如何在渗透测试中大放异彩,助你事半功倍!
下载地址 :
https://github.com/Snow-Mountain-Passengers/Rotor-Goddess
0x02 功能简介
- 智能路径勘探:通过精准的正则匹配,快速扫描并提取网页中的敏感路径和接口,自动拼接动态变量(如“/” + x + “/user/admin”),确保数据全面且准确。
- JS深度分析:自动扫描JS文件,提取隐藏的API接口和参数,结合AI风险评估,挖掘潜在漏洞,如SQL注入、未授权访问等。
- 高效爬虫与响应分析:支持批量URL扫描,自动抓取响应状态、页面长度及ico hash值,并生成黑暗引擎查询语法,提升效率。
- 灵活配置与扩展:提供自定义拼接规则(--url)、证书绕过(--cer)、超时设置(--time)及请求头配置,适配复杂场景。
- AI驱动的漏洞提示:通过AI对话机制,分析JS代码中的潜在风险,智能推荐漏洞测试方向,如ID fuzzing或鉴权问题。
- 日志与结果管理:自动记录扫描URL及参数,生成详细日志,方便后续分析与复查,输出结果直观清晰。
- 批量处理与自动化:支持批量URL文件扫描,结合AI自动化问话机制,减少手动操作,提升大规模测试效率。
- 用户友好体验:工具操作简单,扫描结果一目了然,几分钟即可完成复杂信息收集,适合挂后台运行,效率极高。
0x03更新说明
暂无0x04 使用介绍
📦用法
绕过证书验证(--cer) 在URL后添加--cer参数,即可绕过SSL证书验证,适用于目标站点证书不信任的场景。示例:
roorgoddess --url https://example.com --cer
自定义URL拼接(--url) 对于需要特定拼接规则的站点(如/#/路径),使用--url参数自定义拼接逻辑,确保路径请求准确无误。示例:
roorgoddess --url https://example.com/#/工具将根据指定规则拼接路径并返回正确响应。
设置请求超时(--time) 通过--time=x设置请求超时时间(单位:秒),避免因目标站点响应过慢导致扫描卡顿。示例:
roorgoddess --url https://example.com --time=5
批量URL扫描(url_batch) 支持批量扫描多个URL,只需将目标URL列表保存为.txt文件,每行一个URL,然后运行工具即可自动扫描,无需逐个手动输入。示例:
创建urls.txt,内容如下:
https://example1.comhttps://example2.com
运行命令:
roorgoddess --url_batch urls.txt自定义请求头(headers) 支持自定义HTTP请求头,修改User-Agent、Cookie等信息,适配复杂场景。格式保持标准,仅需更新对应字段数据。示例:
roorgoddess --url https://example.com --headers "User-Agent: Mozilla/5.0"AI问话设置 工具支持自定义AI问话机制,用于优化JS代码分析和漏洞提示。用户可修改AI问话模板,但需注意避免破坏路径提取功能。若删除问话配置,工具会自动生成默认问话机制。示例:修改AI问话模板后,运行
roorgoddess --url https://example.com以应用新设置。
使用注意事项
- 操作简便:所有参数直接在命令行中配置,工具会自动处理并输出结果,适合快速部署和后台运行。
- 日志查看:扫描结果和URL记录会自动保存至日志文件,方便后续分析。
- AI优化:建议多尝试不同AI问话模板,以提升自动化分析效果,但谨慎修改核心提取函数。
0x05 下载
转子女神下载地址:https://xsck.lanzouo.com/b00uz89l0f
密码:d901
原文始发于微信公众号(渗透安全HackTwo):AI赋能的JS扫描与漏洞挖掘神器|漏洞探测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论