子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

花溪九尾:懒人必备强效漏洞扫描器

0240

项目地址

https://github.com/Cl0udG0d/HXnineTails

关于该项目

之前看到很多跟xray联动的工具或方法,如fofa2xray或者AWVS2Xray,前者是将fofa搜索到的结果通过api使用xray进行扫描,后者是开启xray被动代理,使用awvs爬虫爬取后进行扫描,但两者都有一些不足的地方,如fofa2xray需要使用fofaapiawvs搭建又太重,而且没有域名收集的功能。

由此开发花溪九尾

项目简介

平凡,暴力,强大,可自行扩展的缝合怪物

功能简介

梦幻联动:

工具域名收集,页面URL动态爬取,xray漏洞扫描, C段扫描,JS敏感信息提取,Server酱消息推送

该项目中目前集成:crawlergoOneForAllsubDomainsBruteSubfinderSublist3rXrayJSfinderpppXrayServer酱

下一个想要集成的项目是ARL资产灯塔系统

项目的成果在于将这些单独强大的组件融合到一个单一的应用中,适用于SRC批量扫描,CNVD垂直上分等

安装

安装python3(暂不支持python2

下载本项目代码:

git clone https://github.com/Cl0udG0d/HXnineTails

安装相应的库文件

pip3 install -r requirements.txt

为方便国内用户,在requirements.txt第一行使用了阿里云镜像

如果是国外服务器进行python库文件安装,为提速请删除requirements.txt第一行

需要安装下列项目,并将路径配置在config.py文件中

谷歌浏览器

Xray(配合高级版食用更佳

crawlergo

OneForAll

subDomainsBrute

subfinder

例如在我的个人笔记本电脑上,config.py中的路径信息为:

''' 各个项目所在路径: ''' Chrome_Path='C:/Program Files (x86)/Google/Chrome/Application/chrome.exe' Xray_Path='D:/Xray/xray.exe' crawlergo_Path='C:/Users/Administrator/Desktop/test_tools/crawlergo.exe' OneForAll_Path='C:/Users/Administrator/Desktop/test_tools/OneForAll-master/' subDomainsBrute_Path='C:/Users/Administrator/Desktop/test_tools/subDomainsBrute-master/' subfinder_Path='C:/Users/Administrator/Desktop/test_tools/subfinder/'

HXnineTails文件夹下打开命令行输入扫描参数进行使用

使用说明

命令行使用,参数详情为:

-h --help 输出帮助信息 如python3 scan.py --help -a --attone 对单个URL,只进行crawlergo动态爬虫+xray扫描 例如 百度官网 python3 scan.py -a https://www.baidu.com -s --attsrc 对SRC资产,进行信息搜集+crawlergo+xray , 例如 百度SRC python3 scan.py -s baidu.com -d --attdetail 对SRC资产,进行信息搜集+crawlergo+xray+C段信息搜集+js敏感信息搜集 , 例如 百度SRC 输入 python3 scan.py -d baidu.com -t --thread 线程数量,默认线程为5 如 python3 scan.py -t 10 -a http://testphp.vulnweb.com/  -r 读取待扫描txt文件,每行一个URL 对取出的每个URL进行 -a 扫描,如 python3 scan.py -t 10 -r target.txt -c 对保存的漏洞相关报告进行清理,即清理save文件夹下的文件

建议使用-a-s参数进行扫描

另外有一些全局配置在config.py中,可以自行修改,如:

SERVERKEY=''  portlist=['80','8080','8000','8081','8001'] blacklist=["spider","org"]  ThreadNum=5 PYTHON="python3"

SERVERKEY是Server酱 你注册使用的key

portlist是C段扫描时的默认扫描端口列表

blacklist中的字符串,若出现在待扫描URL中,该URL不会被扫描

ThreadNum默认的线程数量

PYTHON主机python解释器的名称,默认为python3

上面提到了一些外部程序或配置,如果在你的扫描中不需要用到的话,可以不进行安装,在程序运行过程中会自行pass掉

项目架构

花溪九尾:懒人必备强效漏洞扫描器

使用截图

python3 scan.py -h

花溪九尾:懒人必备强效漏洞扫描器

项目配置完成后对http://testphp.vulnweb.com/进行扫描

python3 scan.py -t 6 -a http://testphp.vulnweb.com/

花溪九尾:懒人必备强效漏洞扫描器

漏洞自动合并为一个报告存储在saveXray文件夹下

花溪九尾:懒人必备强效漏洞扫描器

查看去重后的漏洞报告

花溪九尾:懒人必备强效漏洞扫描器

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全渗透工具
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-Cobalt Strike 4.4 (August 04, 2021)发布,这次是真的!
Cobalt Strike 4.4 (August 04, 2021)发布,这次是真的!
Cobalt Strike 4.4 (August 04, 2021)发布,这次是真的!
3年前 331
安全小百科-大菠萝WifiPineapple使用浅析(二)
大菠萝WifiPineapple使用浅析(二)
大菠萝WifiPineapple使用浅析(二)
3年前 134
安全小百科-[V4.05, V2.22] PROXIFIER – 先进灵活的全局代理客户端
[V4.05, V2.22] PROXIFIER – 先进灵活的全局代理客户端
[V4.05, V2.22] PROXIFIER – 先进灵活的全局代理客户端
3年前 130
安全小百科-Fofa+Xray联合实现批量挖洞
Fofa+Xray联合实现批量挖洞
Fofa+Xray联合实现批量挖洞
3年前 76
安全小百科-Fiddler抓包工具使用详解
Fiddler抓包工具使用详解
Fiddler抓包工具使用详解
3年前 59
安全小百科-web信息收集工具-IGScan
web信息收集工具-IGScan
web信息收集工具-IGScan
3年前 52
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
049730
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47710
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
020430
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
012870
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
011940
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
010510
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛1年前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666