关于被动式扫描的碎碎念

最新推荐文章于 2024-12-08 20:29:13 发布
转载 最新推荐文章于 2024-12-08 20:29:13 发布 · 318 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5aa118e7f265da238c3a4019
文章标签:

#json #python #php

pr0mise · 2016/02/05 10:10

0x00 简介

分布式扫描好多人都写过,例如:

burp的sqli插件

Matt前辈的zone.wooyun.org/content/241…

猪猪侠前辈的zone.wooyun.org/content/212…

Ver007前辈的zone.wooyun.org/content/243…

0x_Jin前辈的zone.wooyun.org/content/243…

填上个坑填的心烦,想着也造个轮子,忙活了几天,写了一个简单的雏形

Github: github.com/liuxigu/Sca…

在此感谢bstaint、sunshadow的帮助

Sqlmapapi本来就是为了实现分布式注入写的,在被动扫描的基础上 加节点就实现分布式了

最初想的是用chrome插件来实现代码注入

  1. 用js来获取<a>标签的同域url,用js是防止一些站的反爬虫措施,还有对于a href指向相对链接的的情况,用js会自动补全域名.
  2. Chrome webRequest API OnBeforeRequest获取即将请求的url

设想获取url后 喂给sqlmapapi, 将能注入的url写入到文本里,js 的 FileSystemObject gg.. 本来是准备用php实现文件io的…

talk is cheap show me the code.

0x01 Chrome manifest.json

#!js
{  
  "name": "sqlInjectionTest",  
  "version": "0.1",  
  "description": "you know...",  
  "manifest_version": 2,

  "content_scripts": [{
    "matches":["*://*/*"],
    "js": ["inject.js"]
    }],

  "permissions": [
    "*://*/*",
    "webRequest", 
    "webRequestBlocking"
    ],


  "browser_action": {  
    "default_icon": "icon.png" ,
    "default_title": "scan url inject"
    }  
}
复制代码

0x02 Sqlmapapi.py code

一:固定Admin Id

Sqlmapapi启动后 是这样子:

#!bash
[email protected]:~/桌面/sqlmap# python sqlmapapi.py -s
[22:02:17] [INFO] Running REST-JSON API server at '127.0.0.1:8775'..
[22:02:17] [INFO] Admin ID: 7c4be58c7aab5f38cb09eb534a41d86b
[22:02:17] [DEBUG] IPC database: /tmp/sqlmapipc-5JVeNo
[22:02:17] [DEBUG] REST-JSON API server connected to IPC database
复制代码

AdminID每次都会变,这样导致任务管理不方便,我们更改一下sqlmap的源码

定位到/sqlmap/lib/utils/api.py 的server函数

看到644行的os.urandom,直接改成一个固定字符串就行了

例如 我改成了DataStore.admin_id = hexencode('wooyun')

以后就固定是Admin ID: 776f6f79756e

还有个更简单的办法

return True

二:sqlmap扫描任务结束自动写入文本

判断当前任务是否扫描完成 访问http://127.0.0.1:8775/admin/ss/list

#!python
{
    "tasks": {
        "4db4e3bd4410efa9": "terminated"
    }, 
    "tasks_num": 1, 
    "success": true
}
复制代码

Terminated代表任务已终止,

http://127.0.0.1:8775/scan/4db4e3bd4410efa9/data

#!python
{
    "data": [], 
    "success": true, 
    "error": []
}
复制代码

“data”存放了sqlmapapi检测时用的payload, “data”非空就代表当前任务是可注入的,sqlmapapi并没有自带回调方式…轮询浪费开销,这里我选择修改源码

定位到scan_data函数 ,可以看到,假如可注入,就会从data表检索数据并写入到json_data_message,表名为data, 代码向上翻,定位到将数据入库的代码

在StdDbOut类里,第230行,在insert前 插入

#!python
with open('/tmp/'+str(self.taskid)+'.txt','a+') as fileHandleTemp,\
                    closing(requests.get('http://127.0.0.1:8775/option/'+str(self.taskid)+'/list', stream=True)) as reqTemp:

                        fileHandleTemp.write(
                                json.loads(reqTemp.text)['options']['url']+'\n'+
                                json.loads(reqTemp.text)['options']['data']+'\n'+
                                json.loads(reqTemp.text)['options']['Cookie']+'\n'+
                                json.loads(reqTemp.text)['options']['Referer']+'\n'
                            )
复制代码

记得加载三个模块

#!python
import json
import requests
from contextlib import closing
复制代码

本意是获取能注入的url写入到文本里,在源码里没找到继承这个类的地方…懒得去找了

访问http://127.0.0.1:8775/option/id/list

#!python
Response:
{
    "options": {
        ......
        "url": http://58.59.39.43:9080/wscgs/xwl.do?smid=02&bgid=01&bj=8
        ……
        }
    "success":{
        ...
    }
复制代码

0x03 inject.js code

1.

那么要过滤掉javascript::伪协议和无sql操作的href

看到有这样写的:

#!js
if re.match('^(javascript|:;|#)',_url) or _url is None or re.match('.(jpg|png|bmp|mp3|wma|wmv|gz|zip|rar|iso|pdf|txt|db)$',_url):
复制代码

甚至这样的:

#!js
filename=urlpath[i+1:len(urlpath)]
    print "Filename: ",filename
    res=filename.split('.')
    if(len(res)>1):
        extname=res[-1]
        ext=["css","js","jpg","jpeg","gif","png","bmp","html","htm","swf","ico","ttf","woff","svg","cur","woff2"]
        for blacklist in ext:
            if(extname==blacklist):
                return False
复制代码

这两种方式假如遇到这样的url: http://xxx/aaa/ ,就会造成无意义的开销.

判断是否可以进行get注入测试,其实只需要

str.match(/[\?]/); 无get参数的页面会返回null

我们这样写: /http(s)?:\/\/ ([\w\W-]+\/)+ ([\w\W]+\?)+/;

再加上同域过滤,js中没有php那样可以在字符串中用{}引用变量的值,要在正则中拼接变量需要用RegExp对象:

#!js
var urlLegalExpr="http(s)?:\/\/"+document.domain+"([\\/\\w\\W]+\\?)+";
var objExpr=new RegExp(urlLegalExpr,"gi");
复制代码

2.

Js是在http response后执行的,要进行post注入,必须在OnBeforeRequest之前获取,chrome提供了相关的api,这个没什么可说的 ,看代码吧

inject.js code:

#!js
main();

function main(){

    var urlLegalExpr="http(s)?:\/\/"+document.domain+"([\\/\\w\\W]+\\?)+";
    var objExpr=new RegExp(urlLegalExpr,"gi");
    urlArray=document.getElementsByTagName('a');

    for(i=0;i<urlArray.length;i++){
        if(objExpr.test(urlArray[i].href)){
            sqlScanTest(urlArray[i].href);
        }
    }

}

function sqlScanTest(url,payload){


    sqlmapIpPort="http://127.0.0.1:8775";
    var payload=arguments[1] ||'{"url": "'+url+'","User-Agent":"wooyun"}';

    Connection('GET',sqlmapIpPort+'/task/new','',function(callback){

            var response=JSON.parse(callback);      

            if(response.success){
                Connection('POST',sqlmapIpPort+'/scan/'+response.taskid+'/start',payload,function(callback){
                        var responseTemp=JSON.parse(callback);
                        if(!responseTemp.success){
                            alert('url send to sqlmapapi error');
                        }
                    }
                )
            }
            else{
                alert('sqlmapapi create task error');
            }
        }
    )
}


function Connection(Sendtype,url,content,callback){ 
    if (window.XMLHttpRequest){ 
        var xmlhttp=new XMLHttpRequest(); 
    } 
    else{ 
        var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP"); 
    } 
    xmlhttp.onreadystatechange=function(){ 
        if(xmlhttp.readyState==4&&xmlhttp.status==200) 
        { 
            callback(xmlhttp.responseText); 
        } 
    } 
    xmlhttp.open(Sendtype,url,true); 
    xmlhttp.setRequestHeader("Content-Type","application/json"); 
    xmlhttp.send(content); 
} 



function judgeUrl(url){
    var objExpr=new RegExp(/^http(s)?:\/\/127\.0\.0\.1/);
    return objExpr.test(url);
}

var payload={};

chrome.webRequest.onBeforeRequest.addListener(
    function(details){ 

        if(details.method=="POST" && !judgeUrl(details.url)){
            var saveParamTemp="";
            for(var i in details.requestBody.formData){

                saveParamTemp+="&"+i+"="+details.requestBody.formData[i][0];
            }
            saveParamTemp=saveParamTemp.replace(/^&/,'');
            //console.log(saveParamTemp);
            payload["url"]=details.url;
            payload["data"]=saveParamTemp;
        }
        //console.log(details);
    },
    {urls: ["<all_urls>"]},
    ["requestBody"]);


chrome.webRequest.onBeforeSendHeaders.addListener(
    function(details) {
        if(details.method=="POST" && !judgeUrl(details.url)){
            //var cookieTemp="",uaTemp="",refererTemp="";

            for(var ecx=0;ecx<details.requestHeaders.length;ecx++){


                switch (details.requestHeaders[ecx].name){
                    case "Cookie":
                        payload["Cookie"]=details.requestHeaders[ecx].value;
                        break;
                    case "User-Agent":
                        payload["User-Agent"]=details.requestHeaders[ecx].value;
                        break;
                    case "Referer":
                        payload["Referer"]=details.requestHeaders[ecx].value;
                        break;
                    default:
                        break;
                }

            }
            sqlScanTest("test",JSON.stringify(payload));
            return {requestHeaders: details.requestHeaders};
        }

    },
    {urls: ["<all_urls>"]},
    ["requestHeaders"]);
复制代码

Sqlmap能用的选项都可以在http://ip:port/option/taskid/list里查看,用到哪项写到payload里就行了,最好是做成实时刷新代理,之前写过爬虫的时候写过一个python版的,有空的话会改成js加入到inject.js里.

0x04 参考文献

马上2016了,希望在年前把上个坑填完

也祝各位心想事成

网络安全渗透测试(被动扫描
m0_74164189的博客
06-26 835
在渗透测试过程中,测试人员模拟黑客的行为,通过发现和利用漏洞来获取未经授权的访问权限,从而评估系统的安全性和漏洞的严重程度,最终提供修补建议。在进行网络安全渗透测试时,被动扫描是一种很重要的技术,可以在不向目标系统发送任何数据包的情况下,获取目标系统的信息和漏洞情况。总之,在进行网络安全渗透测试时,被动扫描是一种很重要的技术,可以帮助测试人员获取目标系统的信息和漏洞情况。总之,网络安全渗透测试是一项重要的安全评估方法,可以帮助企业和组织发现潜在的安全漏洞和弱点,从而提高系统的安全性。
Python-这是一个基于Mitmproxy和Arachni的被动式扫描
08-10
这是一个基于Mitmproxy和Arachni的被动式扫描
被动式漏洞扫描系统.zip
03-08
Gourdscan v2.1 被动式漏洞扫描系统 Passive Vulnerability Scan 为避免 Gourdscan 被恶意利用,开源版本只放出了简单的探测规则,无法用作为黑客入侵工具。请使用者遵守《中华人民共和国网络安全法》,勿将 Gourdscan 用于未授权的测试,参与项目的社区成员/YSRC/同程安全应急响应中心/同程网络科技股份有限公司不负任何连带法律责任。 安装依赖: Linux 安装 Redis apt-get install redis-server 或从源码编译安装 wget http://download.redis.io/redis-stable.tar.gz && tar xzf redis-stable.tar.gz && cd redis-stable && make && make install 系统已有 Redis 的,运行 redis-server --version 查看自己的版本,需注意2.x版本的 Redis 会有问题 安转 python 类库 基础模块 安装pip wget https://sec.ly.com/mirror/get-pip.py --no-check-certificate && python get-pip.py -i https://mirrors.aliyun.com/pypi/simple/ $ pip install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/ 其他事项 以下如果有报错便可以安装,一般不需要安装 镜像: https://sec.ly.com/mirror/libdnet-libdnet-1.12.tar.gz https://sec.ly.com/mirror/pylibpcap-0.6.4.tar.gz $ wget https://github.com/dugsong/libdnet/archive/master.zip && unzip master.zip $ wget http://dfn.dl.sourceforge.net/sourceforge/pylibpcap/pylibpcap-0.6.4.tar.gz && tar zxf pylibpcap-0.6.4.tar.gz Windows 下载 Redis https://sec.ly.com/mirror/Redis-x64-3.2.100.zip 启动 Redis redis-server.exe GourdScan路径\conf\redis.conf 如需使用网卡抓包方式,同程src已有各依赖镜像,可以把exe文件都装上 https://sec.ly.com/mirror/dnet-1.12.win32-py2.7.exe https://sec.ly.com/mirror/dpkt-1.7.win32.exe https://sec.ly.com/mirror/pcap-1.1.win32-py2.7.exe https://sec.ly.com/mirror/WinPcap_4_1_3.exe OSX 安装 homebrew /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 安装 redis brew install redis 启动 redis redis-server conf/redis.conf 安装依赖 pip install pcapy -i https://pypi.doubanio.com/simple/ git clone https://github.com/dugsong/libdnet.git && cd libdnet && ./configure && make && cd python && python setup.py install 使用方法: redis-server conf/redis.conf python gourdscan.py conf.json 默认平台用户名密码为:admin:Y3rc_admin 默认redis密码为:Y3rc_Alw4ys_B3_W1th_Y0u 如果有勾选sqlmap api scan选项,请在服务器上开启sqlmap api。 一切正常的话你就可以在8000端口上访问到 GourdScanV2 的 web 界面了 Start Monitor 中提供了三种代理方式,区别的话在下方文档有
被动式扫描 x-ray——简单介绍
W小哥
11-17 2383
一、下载地址 https://github.com/chaitin/xray/releases 二、工具简单介绍 在首页有使用文档,可以查看 所有的检测POC集成在xray的pocs目录中,相当于把网上的一下公开的漏洞信息整理到这个库中去了 三、简单使用示例 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 本示例使用的是windows版本的,windows版本的直接是一个exe文件 需要进入cmd界面,输入命令 xray_windows_amd64 webscan --basic-crawler UR
python漏洞扫描模块_Hunter 是一款被动式漏洞扫描
weixin_39642619的博客
12-10 532
招聘提示:中通安全致力于支撑中通快递集团生态链全线业务(快递、快运、电商、传媒、金融、航空等)的安全发展。我们期待更多优秀小伙伴的加入,安全开发、安全合规、产品经理、架构师、数据安全等岗位持续招聘中,感兴趣的可将简历投递至:security@zto.com,更多招聘详情可点击:https://mp.weixin.qq.com/s/YDwfmzHFNPiC4LrYovHeaQWelcome to h...
网络渗透测试(被动扫描
m0_72827793的博客
11-13 396
Google Hacking 是利用谷歌搜索的强大,来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门,不想被发现的后台入口,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息。WAF 可以是基于网络的,也可以是基于主机的,还可以是云端的服务提供。例如,基于网络的 WAF 通常用于保护网络边界,而基于主机的 WAF 则更适用于保护特定的应用程序。
hunter是一款被动式漏洞扫描
05-15
3. **无侵入性**:由于是被动式扫描器,Hunter不会对应用程序的性能造成显著影响,避免了主动扫描可能导致的服务中断。 4. **智能分析**:Hunter使用先进的算法和规则库来识别漏洞,同时具备学习能力,能根据环境...
扫描器毕业设计,被动式扫描器,由chrome插件获取流量,进行二次检测.zip
04-05
"扫描器毕业设计,被动式扫描器,由chrome插件获取流量,进行二次检测"这个标题揭示了本次毕业设计的核心内容。它涉及到网络安全领域中的一个关键工具——扫描器,尤其是被动式扫描器。这类扫描器不同于主动式扫描...
毕业设计,被动式扫描器,由chrome插件获取流量,进行二次检测.zip
08-06
"毕业设计,被动式扫描器,由chrome插件获取流量,进行二次检测" 这个标题揭示了本次毕业设计的核心内容。它涉及到网络安全领域中的一个技术实践,即开发一个被动式扫描器。被动式扫描器不同于主动式扫描器,它不向...
huimwvs:扫描器毕业设计,被动式扫描器,由chrome插件获取流量,进行二次检测
05-18
机器学习解决DGA式hash H sqlmap 暂停终止程序 MMH hash collision插件 M csrf插件添加ajax检测 MH 敏感文件扫描插件 H多线程 MHH 扫描结果存入数据库 MHH 数据库连接池 扫描器引擎调整 H php后台展示漏洞数据 ...
被动扫描(工具使用)
aarong的博客
10-26 2865
1. 简述 被动扫描 被动扫描主要指的是在目标无法察觉的情况下进行的信息收集。主要通过搜索引擎、自动化工具进行扫描,比较有名的工具和引擎有Maltego、Recon-NG、ZoomEye(钟馗之眼)。 主动扫描 主动扫描是针对特定目标而发起的扫描,主要通过发送特定的数据包并根据目标的反应获取一些信息。比如:判断目标主机是否存活、获取目标的操作系统信息、目标的指定端口是否开放、以及目标主机上存在的漏洞等等。 2.Maltego的使用 (1)在kali linux中打开并注册: (2)点击左上角的加号创建
渗透测试基础篇——sqlmap,nmap,burp工具使用
kreas的博客
05-31 1951
源系统向目标系统发一个 syn 请求,请求中包含一个端口号,如果目标端口开启,目标系统通过 syn/ack 来响应源系统,源系统通过 rst 响应目标系统,来断开连接。可以选择主动扫描或者被动扫描,主动扫描过程中会发送新的请求 payload 验证漏洞,被动扫描时 bp 不会重新发送请求,在已经存在的请求和应答分析。使用 FIN 进行测试,T 表示扫描过程中的时序(0-5),值越高扫描速度越快,容易被防火墙屏蔽。主动扫描:xss,http 头注入,重定向,sql 注入,命令行注入,文件遍历、
五大著名的免费SQL注入漏洞扫描工具|Findnet.com.cn
徐小西的专栏
01-19 2425
 大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使黑客获取对敏感信息(如个人数据、登录信息等)的直接访问。Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,Web应用程序在将信息交给客户、供应商时,也从数据库
SQLmap 扫描工具的使用
m0_61990875的博客
10-21 3309
sqlmap的使用方法
帮助检测SQL注入漏洞的工具
weixin_68416970的博客
08-26 1104
最新的信息显示,SQLMap和Burp Suite可以结合使用,通过Burp Suite的插件(如SQLMap4Burp-Plus-Plus),可以将SQLMap的自动化功能集成到Burp Suite的工作流程中,这样可以在Burp Suite的界面中实时显示SQLMap的检测结果和进度,提高了工作效率和精度。用户应根据自己的具体需求和偏好选择合适的工具。:这是一个集成的网络应用安全测试平台,包含多个工具,用于执行包括SQL注入在内的各种攻击,提供详尽的HTTP请求编辑器,可以手动测试SQL注入
Burp与Xray联动-被动扫描
最新发布
玖的博客
12-08 2044
Burp与Xray联动实现自动扫描及APP,小程序测试xray 是一款功能强大的安全评估工具,其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
xray安装与bp组合使用-被动扫描
weixin_42786460的博客
10-14 1222
xray安装与bp组合使用-被动扫描
Xray和burpsuite联动被动扫描
热门推荐
遇事不决冲冲冲
12-26 1万+
Xray捡洞中的高频漏洞 Xray和burpsuite联动实现被动漏扫 xray 1.8.2pro破解版 常见问题 - xray 安全评估工具文档
第三天作业
ehydhdjxhe的博客
09-02 330
并快速地从一个验证入口点,切换到横向,实现快速安全应急,以及用新一代网络安全技术建立一个完整的资产数据库,并能够输出更具生命力的工具,能够对标黑客的实际能力,帮助企业来有效地理解和应对网络攻击。被动扫描:基于代理模式进行,扫描器作为中间人,原样转发流量并返回响应给客户端,同时记录流量并修改参数重新发送请求进行扫描。主动扫描:基于爬虫模式进行,模拟人工点击网页链接,快速爬取网站目录,并使用漏洞扫描插件检测漏洞。用户可以通过命令行指定扫描的URL和输出报告的格式,如HTML。点击加号,可以在端口看到端口80。
Mitmproxy与Arachni结合开发Python被动式扫描
资源摘要信息:"这是一个基于Mitmproxy和Arachni的被动式扫描器" 知识点解析: 1. Python开发基础: Python是一种广泛用于网络编程、数据分析、机器学习等领域的高级编程语言。它以其简洁的语法和强大的库支持而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值