xapp
xapp是一款專注于web指紋識(shí)別的工具��。你可以使用xapp對(duì)web目標(biāo)所使用的技術(shù)進(jìn)行識(shí)別�����,為安全測(cè)試做好準(zhǔn)備���。xapp繼承了x系列工具的一貫優(yōu)點(diǎn)�����,通過簡單易用的命令行參數(shù)和一致的規(guī)則語法�,幫助用戶快速�����、高效地進(jìn)行web指紋識(shí)別����,并為安全測(cè)試做好充分準(zhǔn)備��。我們期待與社區(qū)共同構(gòu)建一個(gè)豐富的指紋規(guī)則庫���,為所有用戶提供免費(fèi)和高效的指紋識(shí)別服務(wù)�����。根據(jù)自己系統(tǒng)下載對(duì)應(yīng)版本�����,之后運(yùn)行
會(huì)在Users路徑下生成文件xapp-config.example.yaml到https://github.com/chaitin/xray-plugins下載指紋文件�,放入和xapp-config.example.yaml相同路徑下./xapp_darwin_amd64 -t http://x.x.x
掃描多個(gè)url
./xapp_darwin_amd64 -i urls.txt
更多用法
# 掃描單個(gè)urlxapp -t http://www.test.com# 掃描多個(gè)urlxapp -i urls.txt# 指定指紋掃描單個(gè)目標(biāo):xapp -r xxx.yml -t https://www.example.comecho https://www.example.com | xapp -r xxx.yml# 指定指紋掃描多個(gè)目標(biāo):xapp -r xxx.yml -t https://www.example.com -t https://www.example2.comxapp -r xxx.yml -i targets.txtcat targets.txt | xapp -r xxx.yml# 指定多個(gè)指紋進(jìn)行掃描:xapp -r xxx.yml -r yyy.yml -t https://www.example.comxapp -r "./finger/web/*.yml" -t https://www.example.comxapp -r "./finger/**/*.yml" -t https://www.example.com# 指定group進(jìn)行掃描:xapp -g web.list -t https://www.example.com
下載地址
EHole_magic
EHole(棱洞)魔改?���?蓪?duì)路徑進(jìn)行指紋識(shí)別;支持識(shí)別出來的重點(diǎn)資產(chǎn)進(jìn)行漏洞檢測(cè)(支持從hunter和fofa中提取資產(chǎn))��、默認(rèn)口令提示����、waf識(shí)別等功能
使用
poc檢測(cè)默認(rèn)不開啟,在poc.ini中將poc=no改為poc=yes開啟
ftp爆破默認(rèn)不開啟�,在poc.ini中將brute=no改為brute=yes開啟路徑進(jìn)行指紋識(shí)別默認(rèn)不開啟,在poc.ini中將route=no改為route=yes開啟waf識(shí)別:發(fā)送正常 HTTP 請(qǐng)求�,并判斷是否存在 WAF 若存在根據(jù)指紋判斷其類型-->若正常 HTTP 檢測(cè)不出 WAF ,則附加惡意的請(qǐng)求嘗試出發(fā) WAF 并分析其類型無害檢測(cè):poc.ini中設(shè)置waf_harmless=yes啟用有害檢測(cè):poc.ini中設(shè)置waf_harmful=yes啟用注意:從FOFA識(shí)別需要配置FOFA 密鑰以及郵箱�����,在config.ini內(nèi)配置好密鑰以及郵箱即可使用。搜索無結(jié)果 解決方案:如:將domain="baidu.com"改為domain='"baidu.com"'ehole finger -s domain="baidu.com" // 支持所有fofa語法
hunter識(shí)別
注意:從hunter識(shí)別需要配置hunter 密鑰��,在config.ini內(nèi)配置好密鑰即可使用���。
搜索無結(jié)果 與fofa解決方案相同
ehole finger -b ip="180.140.20.182" // 支持所有hunter語法
多個(gè)url識(shí)別
ehole finger -l 1.txt // 從文件中加載url掃描
單個(gè)目標(biāo)識(shí)別
ehole finger -u http://www.baidu.com // 單個(gè)url檢測(cè)
P1finger 紅隊(duì)行動(dòng)下的重點(diǎn)資產(chǎn)指紋識(shí)別工具
單個(gè)目標(biāo)探測(cè)
P1finger -uf [target file]
下載地址
hfinger
一個(gè)用于web框架����、CDN和CMS指紋識(shí)別的高性能命令行工具./hfinger -u http://x.x.x
該文章在 2024/9/4 18:00:12 編輯過
400 186 1886
