自动化渗透 · 棱镜 X · 一体化的轻量型跨平台渗透系统-漏洞探测

最新推荐文章于 2024-07-24 17:00:05 发布

程序员-老K

最新推荐文章于 2024-07-24 17:00:05 发布

阅读量705

点赞数 13

文章标签：自动化运维 linux 计算机网络服务器 web安全网络安全

本文链接：https://blog.csdn.net/weixin_57514792/article/details/139200372

版权

0x01 工具介绍

    棱镜 X · 一体化的轻量型跨平台渗透系统支持一键资产风险扫描及主机远程管理的图形化工具。

下载地址在末尾

0x02 功能简介

主机管理

一键生成 Agent，点击获取载荷即生成客户端。

增效工具

模糊搜索：结果基于 Hunter 平台，使用该功需配置 Hunter Api Key

子域名：该功能基于互联网系统，需确保能正常访问公网

目录扫描：扫描指定 URL 可能存在安全风险的资源地址

插件编写

字典配置

    系统内置默认账户、密码组合。如果密码列里出现{user}占位符，则会被替换成用户名。

扫描配置

JNDI 服务器``通常启动后首页会提示：JNDI 监控服务未启动，一些检测功能将会受到限制。解决方式：管理员账户前往 扫描配置 —> 扫描参数 —> 外连设置，有两种方案``   ``自定义 JNDI 服务器：可在本机启动一个监听，服务器地址应当是本机内网/公网 IP 端口``   ``CEYE：配置 CEYE 平台的 Identifier 和 API Token 即可``   ``然后选中对应的服务器模式，保存即可。未正确配置该选项会导致 log4j2 RCE 和 Fastjson RCE 等插件无法使用！

    在执行子域名扫描以及信息收集的模糊搜索任务时，会依赖外界平台。请配置相关平台的身份验证信息，以保证数据的完整性。

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

0x03更新介绍

1.1.0 （2024-1-17）：``修复 前端端口过多导致的卡顿问题``修复 前端分辨率过低导致 UI 错位问题``新增 Nuclei 引擎，未内置poc 请手动将poc放置 lib\exploits\nuclei 目录。``Tips:``Nuclei 引擎默认为禁用，在创建扫描任务时在高级设定中手动开启。遇到过多 web 端口请谨慎使用，经测试扫描一个 C 段，不开 nuclei 引擎只占用系统约 300m 内存，开启后占用到了 2G 以上

0x04 使用介绍

WEB 系统

下载对应 OS ARCH 的软件包 Prism X releases 解压之后赋予可执行权限之后直接运行即可。

Linux Amd64 运行示例

$ wget https://github.com/yqcs/prismx/releases/download/{version}/prismx.zip``$ unzip prismx_linux_amd64.zip``$ cd prismx_linux_amd64``$ chmod +x prismx``$ ./prismx

系统默认账号：prismx/prismx@passw0rd

0x05 内部福利介绍！

    需要加入内部知识星球可点击下方链接，全干货不发网上烂大街的东西，资源包含但不限于网上未公开的0day 1day漏洞（漏洞POC更新至500+），2024最新企业SRC/CNVD/Edu实战挖掘技巧报告，红队内网横向渗透，代码审计，JS逆向，SRC培训课程及应急响应溯源。圈子对新人友好，加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安Hunter等等高级会员账号，SRC文档，武器库。圈子里面资料价值至少在10K以上，目前星球内部主题400+，资源3000+，其他和网盘资源2w+并持续更新中，越早加入价格越低。(详情点击下方地址了解-->>还是觉得价格贵的师傅后台回复" **星球** "有优惠券使用名额有限先到先得)

最后必看

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。