自动化进行资产探测及漏洞扫描

最新推荐文章于 2024-06-14 09:50:01 发布
最新推荐文章于 2024-06-14 09:50:01 发布
阅读量191 收藏
点赞数 1
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73850291/article/details/132168205
版权

适用与linux版

Index of /packages (zhmeiqi.xyz)icon-default.png?t=N6B9http://www.zhmeiqi.xyz/packages/自动化进行资产探测及漏洞扫描

修改与Lay0us1/Londly02: 自动化进行资产探测及漏洞扫描|红蓝对抗 |快速打点 |适用黑客进行赏金活动、SRC活动、大规模攻击使用 |护网 (github.com)icon-default.png?t=N6B9https://github.com/Lay0us1/Londly02

一款红队在大量的资产中实现子域名收集、指纹识别、漏扫的二开工具

0x00 项目概述

将原理简单概述一下,oneforall和ksubdomain双子域名收集,收集后自动去重,去重后的子域名进行Finger+observer双重指纹识别,xray+nuclei漏扫。

0x01 使用方法

请在Linux环境下使用该工具,将xray nuclei Finger observer oneforall ksubdomain放到根目录下,实现自动化,使用xray高级版效果更佳

执行:python3 londly.py -d xxx.com 注意下载的工具文件命名要和脚本的文件命名相同

执行完上面命令,等着收成果即可,建议使用VPS

0x02 调用的项目地址

observer地址 https://github.com/0x727/ObserverWard

Finger地址 https://github.com/EASY233/Finger

nuclei地址 https://github.com/projectdiscovery/nuclei

Xray地址 https://github.com/chaitin/xray

ksubdomain地址 https://github.com/knownsec/ksubdomain

OneForAll地址 https://github.com/shmilylty/OneForAll

0x03 使用注意事项 1.将oneforall所有API配置上后在和ksub结合收集的子域名最全。 2.调用的项目改为xray_linux_amd64 nuclei ksubdomain OneForAll Finger 否则运行时报错 3.部分用户反映调用的时候没有d.txt文件,原因为:网络差或者换个子域名(可能ksub没有爆破出子域名,所以没有生成d.txt结果)。 4.下载的脚本里带result/onedomain文件夹。

我运行了一遍,有一些不适合的和快捷的方法进行修改,如有侵权请联系邮箱进行下架:zhkali127@gmail.com 

pip3 install -r requirest.txt  

 

sudo chmod 777 hao

 

 按照ml.txt进行一步一步操作

chmod +x ksubdomain/ksubdomain

sudo apt-get install libpcap0.8

chmod +x xray_linux_amd64

chmod +x Obsever/obsever

chmod +x nuclie

 python hao.py -d xxxxx

 

 

 

 

 

 

 

  

结束,输出结果

 

 

免责声明

该项目仅供授权下使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络安全法》!

 

zhmeiqi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 CSRFTester 进行自动化探测 CSRF 漏洞
Cwillchris的博客
07-12 1496
1、探测的目的探测的目的是:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞2、自动化探测工具介绍实验环境:win7 虚拟机中步骤如下(1)启动 CSRFTester需要安装 JDK8,这个 JDK8 在前面安装 burpsuite 已经安装了。这里就不用安装了。(2)火狐浏览器设置代理(3)火狐访问DVWA,并登录,选择XSS(Store)(4)随便输入数据开启CSRF-Tester纪录切换到浏览器
基于AI的自动化安全漏洞扫描平台
禅与计算机程序设计艺术
07-12 3914
本文介绍了如何基于AI的自动化安全漏洞扫描平台,利用机器学习和自动化技术,对网络进行自动化测试和漏洞扫描,提高企业的安全管理效率。该平台可以快速、高效地发现企业网络中的安全漏洞,降低企业的安全风险。 随着人工智能技术的不断发展,未来AI自动化安全漏洞扫描平台将在企业网络安全管理中发挥越来越重要的作用。为了更好地应对未来的挑战,我们需要不断提升AI技术在安全漏洞扫描中的准确性,加强AI技术的安全性和可靠性,推动AI技术和企业网络安全管理的深度融合。
项目实战: CMDB自动化资产扫描——3、视图层、前端及路由整合
qq_27172205的博客
07-30 702
资产管理探测流程 存活探测: 获取局域网内存活的IP列表 主机探测: 获取系统版本(SN、版本、MAC地址) 主机关系探测: 识别宿主主机和虚拟机的关系 1、主机存货探测模块视图层的实现 Nmap探测工具 Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。是一款用于网络发现和安 全审计的网络安全工具。 主机发现 - 识别网络上的主机。例如,列出响应TCP和/或ICMP请求或打开特定端口的主机。 nmap -n -sP 172.25.254.197 nmap
一个基于Electron的自动化Web资产探测工具
08-12
一个基于Electron的自动化Web资产探测工具
工具推荐|新鲜出炉,一键全自动资产漏洞探测扫描工具(攻击面管理(ASM)工具)
logic1001的博客
04-02 672
攻击面管理(ASM,Attack Surface Management)是这两年安全行业很火的概念,强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁,最终实现消除外部威胁的目的。攻击面管理和漏洞扫描、漏扫管理、资产管理、零信任类的产品都有一些关系,从理念的角度:ASM 强调 “持续发现” 和 “持续扫描”ASM 的资产采集像知识图谱,在持续扫描的过程中逐渐补全,具备自动进化能力,每次扫描相较于上一次的效果都会更优ASM 更关注 “暴露面”,更关注 “资产变动”
配置管理自动发现工具TADDM
12-18
正在研究企业配置管理数据库自动构建的工具,TADDM是个不错的方案
python项目实战之CMDB自动化资产扫描
weixin_56993834的博客
08-05 2337
一 项目介绍 本项目通过KVM虚拟化搭建Linux系统集群,使用 Ansible实现Linux集群下的批量部署与自动化管理,实现Web形式的自动化运维系统,集中批量控制服务器, 最终实现能支撑1000台实例的环境提供管理和自 动化任务, 提高运维工程师的工作质量和效率。 项目基于HTTP实现自动化任务接受和响应接口设计,基于MySQL用作的关系型数据存取, 基于Redis的任务锁机制和消息队列, 基于MongoDB的事件日志记录, 最终实现邮件通知功能、敏感数据加密功能、日志事件记录功能。 这个文档主要目
关于资产发现-嗅探法
weixin_33805992的博客
11-14 567
最近在忙于整理资产管理这个模块,说起资产管理可能是每个相关的安全产品都需要实现的功能模块,但是无论从BS7799还是ISO27001抑或是其他标准来理解“资产”的定义范围都过于宽泛,我在系统建设之初于用户需求文档里这样定义:本系统所有涉及资产的定义为:带IP的硬件设备及其上面运行的应用程序和服务。在实现资产管理时一个必不可少的环节就是资产的自动发现,资产自动发现并生成拓扑的做...
xray _Windows_amd64.exe (漏洞扫描
03-30
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者...
网络与内容安全漏洞扫描技术PPT学习教案.pptx
10-04
漏洞扫描技术的优点包括快速检测、实时监控、自动化扫描和综合报告等。漏洞扫描技术的缺点包括可能存在误报、漏报和性能影响等。 漏洞扫描技术是现代计算机系统安全的重要组成部分,旨在检测和防止黑客攻击和其他...
内网综合扫描工具fscan的详细使用
03-27
一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、...
AUTO-EARN:一个利用OneForAll进行子域收集,Shodan API端口扫描,Xray漏洞Fuzz,服务器酱的自动化突破扫描,即时通知提醒的扩展挖掘辅助工具
04-01
在平时的漏洞挖掘过程中经常会有些Fuzz的需要,而自动化工具一直是各大SRC榜首师傅的利器,会掌握的经验与工具集合形成一套自己行之有效的入侵探测方法,也看到了各位师傅一级的自动化工具,其中有很多思想冲突的...
Python对接 xray 和微信实现自动告警
01-20
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者...
企业都能用到的免费自动IT资产管理软件系统
热门推荐
xshcl999的博客
10-14 1万+
通过将IT资产信息与人、物、财、场地等资源的结合,使得高效率的资产管理和企业运营得以实现,并将从厂商功能偏重上有些偏重单纯管理上加以整合了更多的功能元素, 随着 IT 基础架构变得越来越复杂,跟踪、管理软件和硬件基础架构投资会给组织带来更大的挑战。我们不仅需要确定正在利用的资产,为了切实有效,我们还必须减少资产蔓延并保持遵守现有租赁和许可协议。遗憾的是,如今大多数公司都无法了解并主动管理其资产
每日一题——Python实现PAT乙级1042 字符统计(举一反三+思想解读+逐步优化)
weixin_44915521的博客
06-09 1123
这些编程思想和哲学理念在编写高效、健壮的代码时至关重要。通过理解和应用这些原则,我们不仅能够写出性能更好的代码,还能在不同情况下做出更加明智的设计决策。通过理解和应用这些哲学和编程思想,可以在不同场景中灵活运用,写出更加高效、健壮和灵活的代码。评估需求:根据实际需求选择最合适的数据结构和算法。避免冗余:尽量避免不必要的重复计算和操作。权衡利弊:在空间和时间之间找到最佳平衡点。灵活应变:根据输入数据的特性,灵活使用动态数据结构和提前决策策略。
基于JavaScript 如何实现爬山算法以及优化方案
乐闻世界
06-10 1328
爬山算法(Hill Climbing Algorithm)是一种常见的启发式搜索算法,常用于解决优化问题。其核心思想是从一个初始状态出发,通过逐步选择使目标函数值增大的邻近状态来寻找最优解。接下来,我们将通过 JavaScript 实现一个简单的爬山算法,帮助大家理解其原理和应用。从一个初始状态开始。评估当前状态的目标函数值。在当前状态的邻居中选择一个目标函数值更大的状态。如果找到了更优的邻居,则移动到该邻居并重复步骤2和步骤3。如果没有更优的邻居,则算法结束,当前状态即为局部最优解。
2024.6.13刷题记录
最新发布
lshx4658的博客
06-14 391
当时没有想到怎么保证队内全都是窗口内的元素,答案:“当队头元素在窗口的左边的时候,弹出队头”,虽然不能保证队内一直没有窗口外的元素,但是能保证使用到的队内元素(队头)全是窗口内元素。当时是有想到这个方法的,但是以为不行,一下没转过来弯。队列储存索引而不是元素,通过储存索引使我们能够快速判断元素是否出窗口。不会,思路来自题解(
Java——简单图书管理系统
m0_74100417的博客
06-09 1452
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
为什么XSS漏洞使用自动化工具不容易扫描出来
07-12
XSS(跨站脚本攻击)漏洞自动化扫描工具在发现漏洞方面可能会遇到一些挑战。以下是一些原因: 1. 动态内容:现代Web应用程序通常使用动态内容生成页面,这使得XSS漏洞扫描变得困难。自动化工具难以分析动态生成的内容,因为它们无法准确模拟用户交互和应用程序的上下文。这导致自动化工具可能无法探测到通过动态生成的内容注入恶意脚本的漏洞。 2. 客户端执行:XSS漏洞的利用通常涉及客户端执行,即恶意脚本在用户的浏览器上执行。自动化工具难以模拟用户端环境,因此无法完全重现攻击场景。这使得自动化扫描工具更难以检测到XSS漏洞。 3. 跨站点脚本保护:现代Web应用程序通常具有一些内置的安全机制来防止XSS攻击,例如输入验证和输出编码。这些机制可能使自动化工具难以成功利用XSS漏洞。 4. DOM操作:XSS攻击可以通过修改DOM(文档对象模型)来实现。自动化工具难以模拟和分析复杂的DOM操作,因此可能无法检测到基于DOM的XSS漏洞。 尽管自动化扫描工具在检测XSS漏洞方面存在一些限制,但它们仍然是有价值的工具,可以帮助发现一些常见和简单的漏洞。然而,对于更复杂的漏洞和定制化的攻击场景,手动安全测试和代码审查仍然是必不可少的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值