得知互动

标题: 最新：漏洞扫描之w13scan、xray被动扫描和crawlergo爬虫联动 [打印本页]

作者: wuhen 时间: 2022-4-8 14:56
标题: 最新：漏洞扫描之w13scan、xray被动扫描和crawlergo爬虫联动
　　声明

　　由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。xray的其他知识和内容也可以到网站具体了解一下，我们是领域内专业的企业平台，欢迎您的关注和了解！　　雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。　　前言　　最近get到了一个爬虫利器crawlergo，于是就忽然想到与被动扫描利器xray和W13scan联动。　　No.1 　　准备　　本人系统：mac 　　工具准备：w13scan、crawlargo、xray、chromium 　　W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式，目前可以发现sql注入、xss、jsonp泄露、命令执行等常见漏洞。　　由于w13scan本身不支持爬虫功能，所以想到了360 0Kee-Teem公开的使用golang语言开发的crawlargo，crawlergo使用chrome headless模式进行URL动态爬虫，收集包括js文件内容、页面注释、robots.txt文件和常见路径Fuzz，确保不遗漏关键的入口链接。　　安装之前需要安装最新版的chromium，下载地址如下：https://download-chromium.appspot.com/ 　　下载后是这样的：　　然后下载crawlargo：https://github.com/0Kee-Team/crawlergo 　　我是mac下载底下圈起来的：　　命令参数详解：　　xray就不多说了安装对应版本即可　　https://github.com/chaitin/xray/releases 　　No.2 　　过程　　首先测试爬虫，命令为crawlergo -c YourChromiumPath -t 标签页数 Url 　　效果如下：　　测试与xray联动：　　首先监听：　　crawlargo开始使用代理爬虫　　效果如下：　　如果想半自动化一点，比如测试多个url可以参考：https://github.com/timwhitez/crawlergo_x_XRAY 　　测试与W13scan联动：　　首先监听　　与前面爬虫一样的，只是多了个代理　　效果如下：　　查看输出的html文件，里面有漏洞URL，漏洞类型，漏洞参数，漏洞利用的payload，请求数据包等详细数据。　　我们也可以利用w8ay师傅的自动化脚本：　　可以根据自己的需求修改命令以及输出文件路径：　　效果如下：　　No.3

欢迎光临得知互动 (https://bbs.dezhifl.com/)