ppmap是一个用Go编写的工具,专注于检测和利用XSS漏洞。它通过启发式扫描和已知Gadget指纹识别来查找漏洞。用户需先安装Chromium/Chrome和chromedp库,然后可通过命令行简单执行扫描任务,例如扫描单个URL或批量扫描URL列表。
ppmap
ppmap是一款基于Go开发的漏洞扫描器/漏洞利用工具,该工具能够通过在全局上下文中检查特定变量来扫描、检测和利用XSS漏洞。该工具目前只能利用已知Gadget(可能支持部分自定义开发的Gadget)中的安全问题,但不支持代码分析或任何高级的漏洞扫描/利用方式。
工作流程
通过启发式扫描确定网站是否容易受攻击;
对已知小工具进行指纹识别(检查全局上下文中的特定变量);
显示最终的漏洞利用并准备执行XSS攻击;
工具依赖
首先,我们需要确保已经正确安装好了Chromium/Chrome:
sudo sh -c 'echo "deb http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list'
wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
sudo apt-get update
sudo apt-get install google-chrome-stable
接下来,我们还需要安装好chromedp:
go get -u github.com/chromedp/chromedp
工具安装
自动安装
首先,下载已编译好的项目代码。
接下来,切换到项目目录下,给程序提供可执行权限:
chmod +x ppmap
手动安装
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/kleiton0x00/ppmap.git
切换到项目目录下:
cd ~/ppmap
使用下列命令构建项目代码:
go build ppmap.go
工具使用
该工具的使用非常简单,我们可以通过下列两种方式执行简单扫描:
1、扫描一个目录/文件(或直接扫描网站本身):
echo 'https://target.com' | ./ppmap
2、扫描一个终端节点:
echo 'http://target.com/something/?page=home' | ./ppmap
大规模扫描
cat url.txt | ./ppmap
其中,url.txt为包含所有目标url地址的列表文件。
工具运行演示
文末福利
1. 网络安全学习路线图:
【图片过大被平台压缩导致模糊,可以在文末免费下载高清完整版】
2. 网络安全学习视频教程
3. 网络安全学习文档资料
【需要资料的朋友,可以扫描下方二维码,免费获取《282G 全套网络安全学习资料包》】
扫一扫
5381
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
