ARL联动AWVS实现自动化漏洞扫描

最新推荐文章于 2024-09-06 09:07:22 发布
最新推荐文章于 2024-09-06 09:07:22 发布
阅读量1.1k 收藏 18
点赞数 6
分类专栏: 漏洞分享 文章标签: 自动化 运维 ARL AWVS 资产扫描 漏洞扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/INSBUG/article/details/140271203
版权

图片

0x01  前言

很多场景下需要大范围的扫描漏洞和快速排查互联网暴露面的漏洞,需要使用这种自动化的手段,常规渗透测试的找互联网暴露面是,域名>子域名>IP>C段>端口,可以手动收集,也可以借助一些网络搜索引擎(fofa、zoomeye、hunter等)然后进行指纹识别、存活探测等等,再用xray或者nuclei、afrog之类的工具过一遍,手工渗透一下。

图片

大概就是这样一个流程。

后面逐渐的出现了很多自动化的工具,直接从网络搜索引擎拉资产,然后子域、端口、指纹、各种扫描器、弱口令,一条龙过一遍。

像这种自动化的方案有很多套,比如:Goby+xray或者Goby+AWVS、ARL+XRAY、ARL+AWVS,还有Rengine这种赏金自动化工具,主要的流程还是各种自动化信息收集最后漏洞扫描,通过工作流把不同的工具组合起来,使这个流程自动化。

图片

这里我们主要实践一下ARL和AWVS联动去进行漏洞扫描,为什么要用这一套方案呢,主要还是用过很多后发现这这一套算是比较好用的一个方案,ARL可以做这些信息收集的工作,同时在新一点的版本都内置了Nuclei,可以对一些通用漏洞做快速扫描,然后配合AWVS扫一些WEB应用的漏洞。后面也可以根据自己的需要加入XRAY、Aforg,再或者一些爬虫,配合自己的POC进行扫描。都很自由可以通过小脚本互相联动起来。

0x02  准备工作

两台linux服务器:

最低0.47元/天 解锁文章
网安工具系列:资产扫描神器ARL增强改造
weixin_54626591的博客
07-15 1223
资产扫描神器ARL增强改造
ARL灯塔魔改,自动化资产搜集+漏扫+推送+1W加指纹
qq_47289634的博客
05-22 8920
灯塔删库了,没有灯塔我该怎么活,在搭建这一套自动化资产搜集+漏扫体系之前,我一般是使用网络搜索引擎(fofa、zoomeye、hunter等)和C段ip进行资产搜集,然后批量指纹扫描工具(Ehole、Glass等)进行指纹识别,使用xray、nuclei进行批量漏扫。按照之前使用的打点流程存在缺陷,总觉得不太好用,打算强化一下灯塔Nuclei 基于模板跨目标发送请求,扫描速度快且准确度高,可一键更新模板库,模板库来源于nuclei社区,活跃度还是比较高的,因此模板更新速度也比较客观。
漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动
xiaoheizi的博客
07-27 1917
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。点击保存(save)
AWVS自动化扫描
Kali与编程
01-18 1449
简介1.1 AWVS的定义和历史背景1.2 AWVS的特点和应用范围1.3 AWVS与其他漏洞扫描工具的比较安装与配置2.1 AWVS的安装和环境要求2.2 AWVS的基本设置2.3 AWVS的代理设置2.4 AWVS扫描设置2.5 AWVS的报告设置漏洞扫描基础3.1 漏洞扫描的基本概念和原理3.2 漏洞的分类和评级3.3 漏洞库和漏洞扫描流程扫描策略与规则4.1 AWVS扫描策略设置4.2 AWVS的目标选择4.3 AWVS扫描范围。
自动化漏洞扫描工具----漏扫神器
08-23
用于多站点自动化漏洞扫描
关于自动化漏扫的资料总结
flyingcatty的专栏
03-15 651
自动化漏洞扫描工具 https://github.com/sullo/nikto https://www.jianshu.com/p/da232aa007d0 最好用的开源Web漏洞扫描工具梳理 https://blog.youkuaiyun.com/uzv80px5v412ne/article/details/78787254 慢速连接攻击工具介绍 https://www.c...
灯塔信息收集
weixin_60250620的博客
04-16 651
某老师傅说的:信息搜集的广度决定了攻击的广度,知识面的广度决定了攻击的深度。信息搜集永远都是渗透人员最重要的必修课,关于信息搜集想必其他的文章都已经提到很多了,比如子公司,域名,子域名,之后,个人中心处查看,这儿最好是有fofa高级会员,因为普通会员只能查看60条数据,高级会员能看10W条,高级会员搜集信息更加全面,这里我提供自有高级会员API)这里的ip就是kali的ip,如果你的kali安装在虚拟机,你可以用kali自带的火狐浏览器打开,也可以在本机上用自己的浏览器输入kali虚拟机的ip进行访问。
ARL-NPoC:集漏洞验证和任务运行的一个框架 .zip
12-21
ARL-NPoC框架旨在简化这一过程,通过提供一套工具和接口,使得这个复杂的任务变得更加标准化和自动化ARL-NPoC框架可能包含以下几个核心组件: 1. **漏洞管理模块**:该模块负责收集、整理和分类漏洞信息,包括...
灯塔ARL资产侦察系统V2.6.2 部署方式:docker-compose一键部署
最新发布
09-30
灯塔ARL资产侦察系统V2.6.2是一款专注于高效识别互联网资产的工具,特别设计用于快速侦察目标相关的互联网资产信息,并建立基础资产信息库。该系统通过发现域名资产、整理IP/IP段资产、执行端口扫描以及服务识别等...
电子测量中的美国热电集团发布新款ARL SMS-3000全自动系统
11-26
 通过将XRF和OES两种分析技术整合至一套紧凑的系统中,ARL SMS-3000可完成对样品同时进行XRF和OES的快速、自动化分析。这一功能对于高合金、不锈钢、铜、黄铜和青铜等样品的分析尤为有利,因为就这些样品的分析而言...
AWVS API总结文档 可用于编写安全自动化测试
09-04
AWVS API总结文档 可用于编写安全自动化测试 绝对不是工具自身的API文档 是自己总结 市面收集 汇总的文档 本人亲测可用于安全自动化编写 好好利用物超所值
【网络安全 | 信息收集】灯塔(资产收集工具)使用教程
等风来
05-22 4803
ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统,旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。其特性如下:1、域名资产发现和整理2、IP/IP 段资产整理3、端口扫描和服务识别4、WEB 站点指纹识别5、资产分组管理和搜索6、任务策略配置7、计划任务和周期任务8、Github 关键字监控9、域名/IP 资产监控10、站点变化监控。
AWVS多平台安装(保姆级)教程
A_991128a的博客
02-21 1万+
Acunetix Web Vulnerability Scanner(简称 AWVS)是一款知名的自动化网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它可以扫描任何可通过 Web浏览器访问的和遵循 HTTP/HTTPS规则的 Web站点和 Web 应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的 Web 网站。AWVS 可以通过检查 SQL 注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核 Web 应用程序的安全性。
AWVS14.5最新版的安装与使用
热门推荐
柠鹿的轨迹
10-30 6万+
目录 0x00 前言 0x01 AWVS14.5更新内容 1、更新 2、修复 0x02 AWVS安装 1、解压后双击打开Acunetix Premium v14.5.211026108.exe 2、选一个中意的安装位置和数据存放位置,将它埋下 3、建一个自己的AWVS登录账号,不需要真实的账户 4、更改AWVS连接端口号,笔者直接默认 5、安装AWVS途中安装证书 6、成功安装 0x03 AWVS激活 1、管理员权限打开Acunetix Premium Activation T
2024版最新AWVS安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
09-06 5662
前言这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段渗透测试工具第3篇。
网络安全kali渗透学习 web渗透入门 ARL资产侦察灯塔系统搭建及使用
xueshenlaila的博客
01-21 7636
FOFA是一款非常强大的搜索引擎, FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。 探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。 这篇文章教大家如何使用资产检索FOFA搜索引擎收集信息 以下有视频版还有文字版 不知道怎么操作的请看文字版的,里面详细的步骤。 关注公众
漏洞扫扫工具合集
weixin_65049289的博客
04-28 1204
漏扫合集
2024最新最全:网络安全人士【必备的30个安全工具】
shanguicsdn111的博客
09-05 1048
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。3.Nmap。
漏洞挖掘 | 实战某公司后台sql注入拿下高危
zkaqlaoniao的博客
06-24 325
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。三. 打开网站,发现这个后台也太老点,后台嘛肯定先测试一下弱口令,测试了一波,发现验证码可以重复使用,但是没有爆破出来。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。一. 通过arl灯塔收集资产信息,灯塔魔改版是真的不错,推荐使用。伍. 存在sql注入,爆破出数据库,现在就可以提交了,点到为止!帮助你在面试中脱颖而出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值