【渗透测试实用神器】mitan:密探 渗透测试实用工具

0x01:mitan-密探介绍

mitan-密探这款渗透测试神器是由kkbo8005打造的一款专注于渗透测试的神器,对于学习网络安全的小白来说,在渗透实战过程中容易没有方向,密探借鉴FindSomeThing、SuperSearchPlus ,御剑文件扫描、dirsearch、JSFinder,fofaviewer等工具,开发这款“密探”渗透测试工具,希望能够为大家提供帮助,并向上述工具的开发者致敬!!

作者官方Github如下,请多给作者点点右上角的免费starkkbo8005/mitan: 密探渗透测试工具包含域名查询,搜索语法,资产测绘(FOFA,Hunter,quake),指纹识别,敏感信息采集,文件扫描、密码字典等功能 (github.com)icon-default.png?t=N7T8https://github.com/kkbo8005/mitan

0x02:mitan-密探功能介绍

mitan-密探软件页面如下图所示,它包含了很多内容

基本信息模块资产信息,备案信息,子域名,IP反查

搜索语法模块:FOFA、Hunter、Quake、Google、Github

资产测绘模块:支持FOFA、Hunter、Quack

指纹识别模块:截止目前1.08版本指纹库有24981条指纹,结果实时显示在上面,支持导出

敏感信息模块:可以显示站点没敏感信息和接口地址(暴露接口并可以自动探测未授权),支持GET/POST双验证

文件扫描模块:包含了目录、备份、php、asp、jsp等字典支持自定义字典

密码字典模块:可以设置自定义字典,可以说是非常齐全

渗透备忘模块:这个模块提供了整个渗透测试流程,适合小白了解整个过程防止搞忘

网址导航模块:集成了信息收集、漏洞平台、安全资讯、常用工具网站。

0x03:mitan-密探安装使用

官方下载地址为,点击即可下载,此版本为1.08如果有最新版本请下载最新版本

https://github.com/kkbo8005/mitan/releases/download/1.08/mitan.zipicon-default.png?t=N7T8https://github.com/kkbo8005/mitan/releases/download/1.08/mitan.zip

请使用JDK8环境下打开此工具

java -jar mitan-jar-with-dependencies.jar

密探更新日志

2024.5.8修正使用中各位师傅提的bug,基本信息模块新增软件著作权,子域名,IP反查域名解析记录,资产测绘增加配置Hunter的多KEY轮询查询功能,文件目录扫描增加了按域名+压缩文件后缀的组合方式。
2024.5.6增加权重信息查询,增加资产测绘的自动加载查询,优化指纹扫描,接口扫描,文件目录扫描功能,增加密码字典功能。优化网站导航信息
2024.4.24界面功能增加指纹识别扫描模块,支持从资产测绘联动到指纹识别,从指纹识别联动敏感信息、文件扫描模块
2024.4.20增加资产测绘模块,调整界面布局,资产测绘支持fofa,hunter,quake3个引擎的查询,并支持右键菜单与敏感信息扫描、文件扫描模块的联动功能
2024.4.13优化了接口未授权扫描的界面卡顿问题以及接口抓取完成自动触发接口未授权扫描计算bug
2024.4.11将敏感信息界面重构了,增加了接口抓取及未授权接口探测功能。(正则表达式感觉还不够完美,下一版再优化一下)
2024.4.7优化文件扫描的多线程扫描功能,增加网站导航地址

0x04:关于mitan-密探

密探渗透工具在开发过程中得到“长风安全”,“湘安无事“两个团队的师傅对工具的完善提供大量帮助,有更好的想法也可以➕V:kkbo680 进入密探工具交流群,提供宝贵意见。

最后提醒您

本工具仅供安全测试人员运用于授权测试, 禁止用于未授权测试, 违者责任自负。作者不对您使用该工具所产生的任何后果负任何法律责任。

​ 本工具在扫描模块使用多线程,在测试过程中根据目标的实际情况进行调整,切勿进行大线程低延时的大规模快速扫描,以免对目标服务造成不利影响。

### 关于Mitan资产测绘配置 对于 Mitan 资产测绘的配置,虽然具体文档未直接提及,但从已有信息可以推测其配置过程涉及多个方面。为了有效利用 Mitan 进行资产测绘并确保最佳效果,通常需要关注以下几个要点: #### 1. 工具集成与环境设置 在准备阶段,需确认已安装必要的依赖项和支持库。如果涉及到图形界面操作,则应按照特定指导完成模块路径设定以及JavaFX SDK 的引入[^3]。 ```bash java --module-path "C:\javafx-sdk-21\lib" --add-modules javafx.controls,javafx.fxml -jar mitan-jar-with-dependencies.jar ``` 此命令展示了如何通过指定 `--module-path` 和 `--add-modules` 参数来加载外部库文件,这对于启动基于 Java 开发的应用程序至关重要。 #### 2. 数据源接入 针对不同类型的资产数据来源,应当定义相应的接口或API调用来收集所需的信息。这一步骤旨在简化后续的数据处理流程,并提高工作效率[^1]。 #### 3. 自动化脚本编写 为了实现一键式的资产测绘功能,建议开发自动化脚本来执行一系列预设的任务。这类脚本不仅可以加速整个工作流,还可以减少人为错误的发生几率。 ```python import subprocess def run_asset_mapping(): try: result = subprocess.run(['java', '--module-path', 'path_to_javafx_libs', '--add-modules', 'javafx.controls,javafx.fxml', '-jar', 'mitan-jar-with-dependencies.jar'], capture_output=True, text=True) print(result.stdout) except Exception as e: print(f"Error occurred: {e}") ``` 上述Python代码片段提供了一个简单的例子,用于展示如何调用外部JAR包来进行资产测绘的操作。 #### 4. 结果导出与分析 最后,在完成了所有的扫描和数据分析之后,应该能够方便地将最终的结果保存下来供进一步审查或是与其他团队成员分享。支持多种格式的输出选项有助于满足多样化的应用场景需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值