对几款开源资产/漏洞管理平台的简单测评。
TideSec/Mars
Mars(战神)——资产发现、子域名枚举、C段扫描、资产变更监测、端口变更监测、域名解析变更监测、Awvs扫描、POC检测、web指纹探测、端口指纹探测、CDN探测、操作系统指纹探测、泛解析探测、WAF探测、敏感信息检测等等!
地址
https://github.com/TideSec/Mars
使用命令
# docker run --name tide-mars -p 5000:5000 -p 27017:27017 -p 13443:13443 -h tide-mars -d registry.cn-hangzhou.aliyuncs.com/secplus/mars:1.0 /usr/sbin/sshd -D
# docker exec tide-mars /bin/bash -c '/bin/bash /root/Mars/start.sh'
登录密码默认为tidesec。
使用感受
用户渗透测试和护网挺好的,但awvs过期了,需要另外配调外部接口。而且管理员密码貌似无法修改。
insight2 洞察2
洞察由宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。
地址
https://github.com/creditease-sec/insight2_docker
使用命令
(1) 使用Docker Compose
git clone https://github.com/creditease-sec/insight2_docker.git
cd insight2_docker
sudo docker-compose up
(2) 系统登录
地址:http://localhost:8000
帐号:admin
密码:admin!Aa2020
后台地址:http://localhost:8000/#/admin
使用感受
总体感觉还可以,是个内部的src管理平台。
不过那安全测试功能只是个摆设?
sec-admin
分布式资产安全扫描核心管理系统(弱口令扫描,漏洞扫描)
地址
https://github.com/smallcham/
使用命令
docker run --name sec-mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=secpassword -d mysql:5.7
docker exec -i sec-mysql sh -c 'exec mysql -uroot -p"$MYSQL_ROOT_PASSWORD"' < create.sql
docker run -p 6379:6379 --name sec-redis -d redis
这个命令进行了修改 0.2版本
docker run -d -p 8888:80 --name sec --env HOST=http://172.17.0.1:8888 --env DB_URL=root:secpassword@172.17.0.1:3306/sec --env RDS_URL=0:@172.17.0.1:6379 -v ~/sec-script:/var/www/html/sec-admin/static/plugin/usr smallcham/sec:core-0.2 && docker logs -f sec --tail 10
使用体验
不能all in one的,要单独启动各组件和节点,字典模块用起来不对劲。
这个不能挂公网,发现代码中存在一些漏洞。
但用起来感觉还可以。
bayonet
bayonet是一款src资产管理系统,从子域名、端口服务、漏洞、爬虫等一体化的资产管理系统
地址:
原版:https://github.com/CTF-MissFeng/bayonet
1.2 docker版:https://github.com/dswangGH/bayonet
安装命令:
# docker pull missfeng/bayonet:v1.2
$ docker run -itd --name bayonet -p 8001:80 missfeng/bayonet:v1.2 # 后台启动容器
$ docker exec -it 8223 bash # 进入容器中 8223是容器ID:822374ab6f7d简写
# /etc/init.d/postgresql start # 启动数据库
# cd /root/bayonet/ # 进入项目目录
# vim config.py # 编辑配置文件,找到 shodan_api,填入该参数值;其他配置可自己配置
# sh bayonet.sh # 启动脚本
访问本机地址: http://127.0.0.1
默认用户名密码:root/qazxsw@123
使用体验:
有点像是一个扫描器,用起来不太顺手
Voyager
旅行者探测器系统,一个安全工具集合框架
地址:
https://github.com/ddosi/Voyager
使用体验
安装存在很多问题,弃了