漏洞利用
因大部分漏洞的利用工具使用 java 编写,并且支持的java 版本不同,搞环境太费劲,恶心坏了,所以重新定义了Jie。
Jie: 一款全面而强大的漏洞扫描和利用工具。
目前版本(0.3.1)支持以下漏洞的利用
Available Commands: apollo apollo scan && exp log4j log4j scan && exp other other scan && exp bb:BasicBrute、swagger:Swagger、nat:NginxAliasTraversal、bbscan:bbscan) s2 Struts2 scan && exp shiro Shiro scan && exp weblogic WebLogic scan && exp webscan Run a webscan task
其中借鉴缝合了很多师傅的工具,对应的漏洞扫描和利用中有写
基于浏览器爬虫开发的web漏洞主动 (被动) 扫描器
由于扫描器只是粗暴的调用 xray、nuclei ,不优雅,而且 xray 不开源,不开源的东西我加入自己的扫描器用着不舒服(纯属给自己挖坑,就当给自己加深漏洞理解了,开发中代码很烂勿喷)。于是产生一个想法,将漏扫类项目拆分出来,重新糅合成一个轮子。
目前打算设计成两种模式:
-
一种被动 优先级低
-
一种主动
已有功能
-
Chrome Headless 爬虫, 爬取中进行指纹识别(katana)
-
指纹识别,根据指纹识别进行漏洞检测(nuclei)
-
基础漏洞扫描 (sql、xss 等) 待优化
-
目录扫描(bbscan规则)
-
一些端口弱口令爆破(这还要在加上端口扫描,先去除)
语言环境识别
防止对 php 的网站调用 java 的扫描插件
工具下载:
下载地址 https://github.com/yhy0/Jie