渗透实战-通过fofa+rad+xray批量挖掘src

已于 2022-12-15 12:20:14 修改
阅读量1.9k 收藏 15
点赞数 3
分类专栏: 渗透实战 文章标签: python excel 开发语言
于 2022-10-23 23:35:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beirry/article/details/127477821
版权
本文详细介绍了如何使用fofa进行信息收集,获取域名、IP和开放端口,并将数据存储到Excel表格。接着,利用rad和xray工具对收集到的信息进行SRC挖掘。fofa信息收集部分涉及API调用与数据整理,而rad+xray部分涵盖了工具下载和使用过程。最终,展示了操作的效果。
摘要由CSDN通过智能技术生成

这篇文章主要是实现通过fofa来收集资产信息,将信息传递给rad,xray来进行挖掘src。

fofa信息收集

之前写过一篇利用fofa的api来收集资产信息传送门:Python安全工具编写-网络空间搜索引擎收集信息
这里我们需要获取到所有信息,域名,IP,开放端口。
将获取到的信息放入到excel表格中,方便我们做后续的信息侦察。
将域名单独存放在txt中
将账号密码存放在config.ini文件中
config.ini文件内容如下

fofa_email = ""
fofa_key = ""

#fofa_scan.py
import reques
了解本专栏 订阅专栏 解锁全文 超级会员免费看
beirry
关注
专栏目录
订阅专栏
xray批量扫描url--xray_scan1.1
qq_42404383的博客
04-10 2727
接上一篇稍微优化了一点 传送门 #环境: python3 #用法: 在bat.py的同目录下生成xray_url.txt,根据自己的需求更改scan_command即可 #说明: command中的xray路径需要手动修改,报告生成的位置在同一目录下 #xray_scan:v1.0 #author: 想学点black技术\黑仔 #time: 2020年12月16日20:27:40 #单独扫描 #xray_scan:v1.1 #更新:增加进程池机制、提高扫描效率(可根据电脑性能自行设置进程池大小) #时间
xray批量扫描url
qq_42404383的博客
12-16 1万+
xray批量扫描url **思路:**从txt文本文档中按序导出url,写好系统命令后用python来依次执行命令,并生成报告到xray根目录。 示例: 代码: #author: 想学点black技术 #用法: 在bat.py的同目录下生成xray_url.txt,根据自己的需求更改scan_command即可 #time: 2020年12月16日20:27:40 #环境: python3 #说明: command中的xray路径需要手动修改,报告生成的位置在同一目录下 import os impo
pppXray:Xray批量化自动扫描
05-12
pppXray 作用: Xray批量化自动扫描 使用方法: 一,在target.txt里按行放置待扫描URL,如图: 二,将Xray所在文件夹配置到电脑环境变量里 三,然后运行pppXray.py即可 运行截图: 关于 2021/2/20更新 添加命令行参数与自定义xray插件用法,可通过 --help查看 -r,--readfile参数指定批量读取文件名,默认文件名为target.txt --plugins参数指定xray插件 如图: 输入 python3 pppXray.py --plugins cmd_injection -r target.txt,使用注入插件进行检测 2021/5/5更新 看到了黑白某道的公众号文章,这么菜的脚本也能水文章了,xs 但为了方便初学安全的小伙伴更方便使用xray,参考之前的经验,在脚本中兼容专业版和社区版,以及添加分类的功能,大伙儿就不用点开每个漏洞
xray自动化扫描工具批量化扫描
violated的博客
05-25 732
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
XRAY~漏洞扫描工具
最新发布
weixin_67832625的博客
08-20 1406
有人说:“所有的漏扫工具都是人写出来的,既然是工具,肯定没有人厉害,但是,漏扫可以大大减少你的工作量”
src挖掘fofa联动xray批量src
ssrf
02-16 2885
目录1、利用fofa API收集目标2、使用xray批量验证 1、利用fofa API收集目标 需要安装python2 # -*- coding: utf-8 -*- import time import urllib2 import fofa import json def write_url(urls): with open('xxx.txt','a+') as f: f.write(urls+'\n') if __name__ == "__main__": ema
白帽子挖洞第II篇作业--xray+fofa主动扫描
qq_29437513的博客
11-10 1883
在去年到今年期间,出现了fofa2xray这样通过调用fofa的api,配合xray的被动扫描,实现挖洞。 本人有幸花了点时间搭好环境,但在确定api已经调用成功后,发现无法返还数据,如图 得出的结果:也许只有开发者的脚本只有开发者才能调用。 看了fofa2xray的config源码后产生构想 简陋的源码,能不能自己通过fofa-gui导出结果然后xray扫描呢? 网上找了一下,发现真的有大佬想到一块了, https://cloud.tencent.com/developer/article/1759
漏洞挖掘fofa+xray
09-25
总结来说,fofa+xray的组合为网络安全专业人士提供了一种高效且全面的漏洞挖掘方案。通过编写批量脚本,我们可以对大量目标进行快速扫描,及时发现并处理安全隐患,保障网络环境的安全。在实际工作中,合理运用这两...
第86天:SRC挖掘-教育行业平台&规则&批量自动化1
08-03
SRC挖掘】是网络安全领域的一种活动,特别是在教育行业中,它涉及...通过理解这些规则和实践,安全专家可以在教育行业的SRC挖掘中遵循最佳实践,有效地发现并解决潜在的安全问题,同时保护用户的隐私和系统的稳定性。
渗透字典-fofa测绘语句
02-08
在使用fofa搜索引擎时一些常用的搜索语句。
【漏洞挖掘Xray+rad自动化批量漏洞挖掘
信安是不可或缺的一部分!
07-31 3318
自动化漏洞挖掘是指利用计算机程序和工具来扫描、分析和检测应用程序、网络和系统中的安全漏洞的过程。这种方法可以帮助安全专家和研究人员更高效地发现和修复潜在的安全威胁,从而提高整体系统的安全性。注意:一切未授权挖掘属于违法行为提示:以下是本篇文章正文内容,下面案例可供参考更多使用可以查看:https://docs.xray.cool/#/tutorial/introduce我的推荐使用awvs联动xary可以全面的做漏洞扫描。
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴进去(一行一个url) 3、执行python脚本 python3 xray单线程批量检测.py
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描:Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描:Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
SRC挖洞之fofa使用基础篇(一)
杳若的博客
08-17 2530
fofa基础使用
Xray扫描器使用联动 burp,以及结合 fofa 批量自动化挖洞
热门推荐
Love&Share
04-02 1万+
xray简介 xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 特点 xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用 使用 go 语言编写,跨平台、纯异步、无阻塞,并发能力强,扫描速度刚刚的 提供多种使用
Qaseem安全团队- 躺着挖洞之awvs批量扫描联动xray
qq_29437513的博客
01-30 4703
坐在家里躺着等漏洞上门
Xray+Rad+FOFA
LiBai'S BLOG
12-13 4639
被动代理+深度扫描~
RAD
jlusdy的学习园地
11-09 732
Rapid Application Development
通过fofa批量获取目标资源(exe文件)的方法
5. Fofa与exe文件的关系:在本标题中,"fofa一件爬取相应资源(exe文件)"可能是指通过Fofa的API进行搜索,并将搜索结果下载为exe文件。这种情况下,exe文件可能是包含了搜索结果的压缩文件。 6. Fofa的使用注意...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

beirry

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值