0x01:mitan-密探介绍
mitan-密探这款渗透测试神器是由kkbo8005打造的一款专注于渗透测试的神器,对于学习网络安全的小白来说,在渗透实战过程中容易没有方向,密探借鉴FindSomeThing、SuperSearchPlus ,御剑文件扫描、dirsearch、JSFinder,fofaviewer等工具,开发这款“密探”渗透测试工具,希望能够为大家提供帮助,并向上述工具的开发者致敬!!
作者官方Github如下,请多给作者点点右上角的免费starkkbo8005/mitan: 密探渗透测试工具包含域名查询,搜索语法,资产测绘(FOFA,Hunter,quake),指纹识别,敏感信息采集,文件扫描、密码字典等功能 (github.com)https://github.com/kkbo8005/mitan
0x02:mitan-密探功能介绍
mitan-密探软件页面如下图所示,它包含了很多内容
基本信息模块:资产信息,备案信息,子域名,IP反查
搜索语法模块:FOFA、Hunter、Quake、Google、Github
资产测绘模块:支持FOFA、Hunter、Quack
指纹识别模块:截止目前1.08版本指纹库有24981条指纹,结果实时显示在上面,支持导出
敏感信息模块:可以显示站点没敏感信息和接口地址(暴露接口并可以自动探测未授权),支持GET/POST双验证
文件扫描模块:包含了目录、备份、php、asp、jsp等字典支持自定义字典
密码字典模块:可以设置自定义字典,可以说是非常齐全
渗透备忘模块:这个模块提供了整个渗透测试流程,适合小白了解整个过程防止搞忘
网址导航模块:集成了信息收集、漏洞平台、安全资讯、常用工具网站。
0x03:mitan-密探安装使用
官方下载地址为,点击即可下载,此版本为1.08如果有最新版本请下载最新版本
请使用JDK8环境下打开此工具
java -jar mitan-jar-with-dependencies.jar
密探更新日志
2024.5.8 | 修正使用中各位师傅提的bug,基本信息模块新增软件著作权,子域名,IP反查域名解析记录,资产测绘增加配置Hunter的多KEY轮询查询功能,文件目录扫描增加了按域名+压缩文件后缀的组合方式。 |
---|---|
2024.5.6 | 增加权重信息查询,增加资产测绘的自动加载查询,优化指纹扫描,接口扫描,文件目录扫描功能,增加密码字典功能。优化网站导航信息 |
2024.4.24 | 界面功能增加指纹识别扫描模块,支持从资产测绘联动到指纹识别,从指纹识别联动敏感信息、文件扫描模块 |
2024.4.20 | 增加资产测绘模块,调整界面布局,资产测绘支持fofa,hunter,quake3个引擎的查询,并支持右键菜单与敏感信息扫描、文件扫描模块的联动功能 |
2024.4.13 | 优化了接口未授权扫描的界面卡顿问题以及接口抓取完成自动触发接口未授权扫描计算bug |
2024.4.11 | 将敏感信息界面重构了,增加了接口抓取及未授权接口探测功能。(正则表达式感觉还不够完美,下一版再优化一下) |
2024.4.7 | 优化文件扫描的多线程扫描功能,增加网站导航地址 |
0x04:关于mitan-密探
密探渗透工具在开发过程中得到“长风安全”,“湘安无事“两个团队的师傅对工具的完善提供大量帮助,有更好的想法也可以➕V:kkbo680 进入密探工具交流群,提供宝贵意见。
最后提醒您
本工具仅供安全测试人员运用于授权测试, 禁止用于未授权测试, 违者责任自负。作者不对您使用该工具所产生的任何后果负任何法律责任。
本工具在扫描模块使用多线程,在测试过程中根据目标的实际情况进行调整,切勿进行大线程低延时的大规模快速扫描,以免对目标服务造成不利影响。