W8scan:一款模仿Bugscan的漏洞扫描器

2017 年 11 月 24 日 黑白之道


0×01 说明:

其实我没怎么用过bugscan,不过它的扫描模式是我所喜欢的。所以就做了个相仿的。模仿他的通信原理。网页端返回一段代码,本地python环境执行代码即可扫描。

0×02 扫描流程:

web端

web端提供一个链接 -> 节点运行 ->在web端可进行在线扫描等的操作。

扫描器内部执行顺序

1. 激活扫描器主程序

2. 加载信息收集模块

header信息,网页标题 收集

[可选] 子域名爆破 xx.py

[可选] 备案查询 xx.py

[可选] Bing反差域名 xx.py

[可选] whois查询 xx.py

[可选] 检测网站是否使用了CDN xx.py

3. 加载指纹识别模块

[可选] web指纹 xx.py

[可选] 端口扫描 xx.py

4. 加载扫描器模块

[可选] 敏感目录爆破 xx.py

[可选] 爬虫 – 基于爬虫插件(SQL,XSS)webshell爆破插件、备份 xx.py

0×03 具体介绍:

用过很多开源的扫描器,但是都要安装一大堆东西,而且有的平台也有限制。所以我想设计是一款简单可使用的扫描器,于是w8scan就诞生了。

w8scan只需要搭建在php+mysql的环境下,然后客户端只需要安装了python2.7的环境,就可以完美运行了。

0×04 POC && 编写说明

这款扫描器主要靠一些插件工作,自带的插件是一些我修改过的巡风系统的poc和一些自己写的插件。

poc编写没有详细的说明,只能简单的说下

在文件的py目录下有三个目录,分别为plugins、poc、spider 分别对应插件、poc测试插件、爬虫插件目录

此三个目录下分别有文件,照着编写即可。

0×05 不是很完美

这款扫描器不是很完美,是很久之前开发的东西,最近准备重写。因为是开发版本,主程序中没有容错程序,会导致某个插件报错全局停止。想完整测试代码可自行在主程序中加入容错程序。

0×06 下载

https://github.com/boy-hack/w8scan

0×07 特别说明

扫描器可为个人和安全团队作为内部扫描器使用。扫描器切勿用于非法用途!!


文章出处:FreeBuf

你会喜欢


AZScanner:自动漏洞扫描器

web漏洞扫描器 Acunetix 10中文介绍


登录查看更多
1

相关内容

干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
76+阅读 · 2020年4月24日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
179+阅读 · 2020年1月1日
《动手学深度学习》(Dive into Deep Learning)PyTorch实现
专知会员服务
119+阅读 · 2019年12月31日
【大规模数据系统,552页ppt】Large-scale Data Systems
专知会员服务
60+阅读 · 2019年12月21日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
GitHub 热门:各大网站的 Python 爬虫登录汇总
机器学习算法与Python学习
9+阅读 · 2019年3月20日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
Python | Jupyter导出PDF,自定义脚本告别G安装包
程序人生
7+阅读 · 2018年7月17日
Neo4j 和图数据库起步
Linux中国
8+阅读 · 2017年12月20日
Arxiv
24+阅读 · 2020年3月11日
Meta-Learning to Cluster
Arxiv
17+阅读 · 2019年10月30日
Arxiv
4+阅读 · 2018年5月4日
Arxiv
6+阅读 · 2018年2月6日
VIP会员
相关VIP内容
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
76+阅读 · 2020年4月24日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
179+阅读 · 2020年1月1日
《动手学深度学习》(Dive into Deep Learning)PyTorch实现
专知会员服务
119+阅读 · 2019年12月31日
【大规模数据系统,552页ppt】Large-scale Data Systems
专知会员服务
60+阅读 · 2019年12月21日
相关资讯
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
GitHub 热门:各大网站的 Python 爬虫登录汇总
机器学习算法与Python学习
9+阅读 · 2019年3月20日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
Python | Jupyter导出PDF,自定义脚本告别G安装包
程序人生
7+阅读 · 2018年7月17日
Neo4j 和图数据库起步
Linux中国
8+阅读 · 2017年12月20日
Top
微信扫码咨询专知VIP会员